Achillesowa pięta Snapdragona zagrożeniem dla milionów smartfonów z Androidem

Pod koniec ubiegłego tygodnia świat obiegła informacja o licznych błędach odkrytych w oprogramowaniu koprocesora DSP (Digital Signal Processor), umieszczonego wewnątrz mobilnych Snapdragonów. W sumie wytypowano ponad 400 błędnie napisanych linii kodu, które są związane z sześcioma typami różnych podatności. Łącznie pozwalają one na dość kompleksową kradzież danych użytkownika, począwszy od jego zdjęć, wideo, nagrań rozmów czy dokumentów, a na danych GPS skończywszy. Zagrożenia te nazwano kryptonimem Achilles i nadano im numery od CVE-2020-11201 do CVE-2020-11209.

Stojąca za ich odkryciem firma Check Points przed podaniem ich do publicznej wiadomości poinformowała o ich istnieniu Qualcomma, a ten przygotował w tym czasie stosowną poprawkę, która została udostępniona producentom OEM. Tu niestety rodzi się problem, bo Ci muszą teraz na własną rękę przygotować odpowiednią poprawkę, pasującą do wykorzystywanego przez siebie ROMu Androida. Jak nietrudno się domyślić, przygotowanie i dystrybucja takich aktualizacji zajmie sporo czasu, a znając politykę producentów, starsze urządzenia mogą się jej w ogóle nie odczekać.

Dla osób zainteresowanych tematem załączam poniżej kompletną listę wykrytych podatności:

• CVE-2020-11201
• CVE-2020-11202
• CVE-2020-11206
• CVE-2020-11207
• CVE-2020-11208
• CVE-2020-11209