Qualcomm sebezhetőségek
A Qualcomm szilveszterkor nyilvánosságra hozott egy kritikus sebezhetőséget, amely az LTE-hálózatokon keresztül rosszindulatú hanghívásokon keresztül távoli támadásokat tesz lehetővé.
A 2024. januári biztonsági bulletin összesen 26 sebezhetőséget, köztük négy kritikus sebezhetőséget sorol fel, amelyek a Qualcomm chipkészleteket érintik. A biztonsági frissítések már elérhetővé tették azon gyártók (OEM-ek) számára, amelyek készülékei Qualcomm chipeket használnak, köztük a népszerű Snapdragon sorozatba tartozó készülékeket is.
A Qualcomm kritikus sebezhetősége kockázatot jelent az LTE-n keresztüli hívások fogadásakor
A legsúlyosabb hiba, amelyet CVE-2023-33025 néven követnek nyomon, a Qualcomm szerint 9,8-as CVSS pontszámmal rendelkezik. Ez a sebezhetőség egy klasszikus puffer túlcsordulási hibát tartalmaz, amely memóriakárosodást okoz az adatmodemben, és amely a Voice-over-LTE (VoLTE) hívások során jelentkezik, amikor a Session Description Protocol (SDP) teste nem szabványos.
Az SDP jellemzően segít megkönnyíteni a két eszköz közötti kapcsolatot egy kommunikációs munkamenethez, például egy VoLTE-híváshoz, bizonyos munkamenet-, média-, időzítési és hálózati információk szabványosított formátumban történő megadásával. Ha egy távoli támadó képes manipulálni az SDP testét a saját tartalmával, és olyan hívást kezdeményez, amelyben a rosszindulatú SDP-t a fogadó eszköz adatmodemje feldolgozza, a modem memóriájának sérülését a támadó kihasználhatja távoli kódfuttatásra (RCE).
A CVE-2023-33025 két tucat Qualcomm chipkészletet érint, köztük a Snapdragon 680 és Snapdragon 685 4G mobilplatformokat. Ezeket a chipeket számos okostelefonban és táblagépben használják, többek között a Samsung Galaxy, a Motorola Moto és a Huwei Enjoy és Nova termékcsalád modelljeiben. Az újabb Snapdragon X65 5G modem és Snapdragon X70 modem RF rendszerek szintén érintettek.
Az OEM-gyártókat először 2023. július 7-én értesítették a hibáról, így a nyilvánosságra hozatal előtt körülbelül hat hónap állt rendelkezésükre, hogy frissítsék rendszereiket. A Qualcomm szóvivője az SC Media-nak elmondta, hogy a CVE-2023-33025 a 2024. januári Android biztonsági bulletinbe kerül be kedden.