DSP-gate: falla masiva en el chip Qualcomm deja el 40% de los teléfonos inteligentes completamente expuestos
3 minuto. leer
Publicado el
Compartir este artículo
Mejorar esta guía
Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más
Qualcomm ha confirmado el descubrimiento de una falla masiva en los conjuntos de chips de sus teléfonos inteligentes que deja a los teléfonos completamente expuestos a los piratas informáticos.
Descubierta por Check Point Security, la falla en el Snapdragon DSP que se encuentra en la mayoría de los teléfonos Android permitiría a los piratas informáticos robar sus datos, instalar un software de espionaje imposible de encontrar o bloquear completamente su teléfono.
Check Point reveló públicamente la falla en Pwn2Own, revelando que la seguridad de Qualcomm en torno a la manipulación del DSP en los teléfonos Snapdragon se eludió fácilmente, con 400 fallas explotables encontradas en el código.
Ellos notan:
Por razones de seguridad, los OEM y un número limitado de proveedores de software de terceros otorgan licencia de programación al cDSP. El código que se ejecuta en DSP está firmado por Qualcomm. Sin embargo, demostraremos cómo una aplicación de Android puede eludir la firma de Qualcomm y ejecutar código privilegiado en DSP, y qué otros problemas de seguridad pueden ocasionar.
Hexagon SDK es la forma oficial para que los proveedores preparen código relacionado con DSP. Descubrimos errores graves en el SDK que han dado lugar a cientos de vulnerabilidades ocultas en el código de los proveedores y propiedad de Qualcomm. La verdad es que casi todas las bibliotecas ejecutables de DSP integradas en los teléfonos inteligentes basados en Qualcomm son vulnerables a los ataques debido a problemas en el SDK de Hexagon. Vamos a resaltar los agujeros de seguridad generados automáticamente en el software DSP y luego los explotaremos.
Apodado DSP-gate, el exploit permitió que cualquier aplicación instalada en un teléfono vulnerable (que son principalmente dispositivos Android) se hiciera cargo del DSP y luego tuviera rienda suelta en el dispositivo.
Qualcomm solucionó el problema, pero desafortunadamente, debido a la naturaleza fragmentada de Android, es poco probable que la solución llegue a la mayoría de los teléfonos.
"Aunque Qualcomm solucionó el problema, lamentablemente no es el final de la historia", dijo Yaniv Balmas, jefe de investigación cibernética de Check Point, "cientos de millones de teléfonos están expuestos a este riesgo de seguridad".
“Si tales vulnerabilidades son encontradas y utilizadas por actores maliciosos”, agregó Balmas, “habrá decenas de millones de usuarios de teléfonos móviles casi sin forma de protegerse durante mucho tiempo”.
Afortunadamente, Check Point aún no ha publicado los detalles completos de DSP-gate, lo que significa que puede pasar algún tiempo antes de que los piratas informáticos comiencen a explotarlo.
En un comunicado, Qualcomm dijo:
“Proporcionar tecnologías que respalden una sólida seguridad y privacidad es una prioridad para Qualcomm. Con respecto a la vulnerabilidad Qualcomm Compute DSP revelada por Check Point, trabajamos diligentemente para validar el problema y poner a disposición de los OEM las mitigaciones adecuadas. No tenemos evidencia de que esté siendo explotado actualmente. Alentamos a los usuarios finales a que actualicen sus dispositivos a medida que los parches estén disponibles y que solo instalen aplicaciones desde ubicaciones confiables como Google Play Store”.
vía Forbes
