تأیید آسیبپذیری روز صفر تراشههای کوالکام در گوشیهای اندرویدی
یکی از تراشههایی که با این آسیبپذیری درگیر بودند، اسنپدراگون 8 نسل 1 است.
به گزارش دنده6 :کوالکام و 2 سازمان دیگر با اطلاعاتی که درمورد حمله «روز صفر» اندروید به دست آوردهاند، بهسمت بهبود امنیت کاربران قدم برمیدارند. این شرکت سازنده تراشه اعلام کرد تعدادی از تراشههایش ازجمله اسنپدراگون 8 نسل 1 آسیبپذیری داشتند اما این مشکل دیگر برطرف شده است.
Qualcomm، شرکت بزرگ سازنده تراشه، توضیح داد آسیبپذیری «CVE-2024-43047» را در تراشههایش برطرف کرده است. این آسیبپذیری روز صفر مشکل گسترده معرفی نشده است، در عوض، کوالکام میگوید این «اکسپلویت محدود و هدفمند» بوده است. البته گوگل و آزمایشگاه امنیتی عفو بینالملل زودتر به این موضوع توجه کرده بودند. براساس گزارش حاضر، هر 2 سازمان تحقیق پیرامون سوءاستفادههای احتمالی از این حمله را آغاز کردهاند.
آسیبپذیری خطرناک تراشههای کوالکام
گروه Google Threat Analysis قبل از اقدام کوالکام «نشانههایی» از این مشکل را به این غول تراشهساز نشان داده بود. در این گزارش آمده آزمایشگاه امنیت عفو بینالملل نیز ظن اولیه گوگل درمورد باگ روز صفر تراشههای کوالکام را «تأیید» کرده بود.
«هجیرا مریم»، سخنگوی عفو بینالملل اعلام کرد که این سازمان در حال کار روی یک مقاله تحقیقاتی در مورد این موضوع است که «بهزودی منتشر خواهد شد». درحالحاضر، هیچچیز در مورد هدف پشت این سوءاستفاده مشخص نیست. کوالکام تأیید کرده که این حمله بر تراشههای 64 بیتی آن مانند اسنپدراگون 8 نسل یک تأثیر گذاشته است.
علاوهبراین، کوالکام میگوید این مشکل در دستگاههای سامسونگ، موتورولا، شیائومی، وان پلاس، OPPO و ZTE که از تراشههای این شرکت استفاده میکنند، دیده شده است. اگرچه هنوز جزئیات زیادی درباره این آسیبپذیری در دست نیست، ظاهراً مشکل برطرف شده؛ یکی از سخنگویان کوالکام میگوید آپدیتهای رفع مشکل از سپتامبر 2024 در دسترس مشتریان قرار گرفتهاند.
علاوهبراین، در آسیبپذیری دیگری، سال 2019 از سیستم WLAN کوالکام سوءاستفاده شده بود. نام این حمله «QualPwn» بود و از طریق شبکه WLAN و مودم آن از راه دور اجازه دسترسی غیرمجاز به گوشی را به مهاجمان میداد. این اکسپلویت توانست استفاده کوالکام از Secure Boot را دور بزند. بعداً گزارش شد این هکرها میتوانستند از طریق WLAN حتی به هسته اندروید گوشیها نفوذ کنند و به دادههای کاربر دسترسی داشته باشند.
