Nesten alle Android-telefoner som finnes er laget med chipen Digital Signal Processor (DSP) fra produsenten Qualcomm. Dette gjelder for eksempel telefoner fra Google, Samsung, LG og Xiaomi. Sikkerhetsforskere hos Check Point har funnet store mengder sårbar kode i chipen, som altså brukes i mer enn 4 av 10 telefoner verden over.

Qualcomm har riktignok reparert denne sårbarheten etter Check Points avsløring, men telefonprodusentene må fortsatt implementere oppdateringen, noe som gjør at trusselen fortsatt eksisterer.

Spionerer og lekker data – uten at du vet det

I forskingsartikkelen “DSP-Gate”, som ble presentert på Def Con 2020, fortalte Check Points forskere om de mer enn 400 sårbarhetene de har funnet i Qualcomms DSP. Disse innebærer blant annet at telefonen din kan spionere på deg. Uten at du vet det, kan du også lekke bilder og video, sanntidsdata fra mikrofonen, lagrede telefonsamtaler, GPS- og stedsdata, for å nevne noe.

Videre kan telefonen din slutte å respondere. Gjennom sårbarhetene kan hackere gjøre at du på permanent basis ikke får tilgang til innholdet ditt, som bilder, videoer, kontaktinfo og så videre. Dessuten kan hackere ved hjelp av ondsinnet kode skjule alle spor og installere kode som det ikke er mulig å fjerne.

For å utnytte sårbarhetene trenger ikke hackerne gjør mer enn å få et offer til å installere en enkel, godartet app som ikke ber om noen tillatelser.

- En ny angrepsflate

Etter å ha studert Qualcomms DSP mener Check Points forskere at denne chipen representerer en ny angrepsflate og svake inngangspunkt for hackere. DSP-chiper er mer sårbare for angrep ettersom de produseres som sort bokser ("Black Boxes"), da det kan være svært komplisert for andre enn produsenten selv å vurdere chipens design, funksjonalitet og kode.

Check Point har gjort Qualcomm oppmerksomme på sårbarhetene. Produsenten anerkjente straks funnene, informerte sine telefonkunder og utstedte patchene CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 and CVE-2020-11209.

Check Point kommer ikke til å publisere alle de tekniske detaljene i denne saken før alle telefonprodusentene har en omfattende løsning på de omfattende sikkerhetsbristene.

- Selv om Qualcomm har reparert disse svakhetene, er ikke dette enden på visa, dessverre. Hundrevis av millioner telefoner er fortsatt utsatt, og risikerer å bli spionert på. Som Android-bruker kan du miste all dataen din, sier Nils-Ove Gamlem, teknologisjef i Check Point.

- Det er nå opp til telefonprodusentene å sørge for at alle deres telefoner blir sikret. Både nye telefoner, og de som allerede er i bruk, sier Gamlem.