Pesquisadores de cibersegurança descobriram que chips Snapdragon da Qualcomm, uma das marcas mais utilizadas entre os smartphones Android, possuem centenas de pedaços de código vulneráveis que pode deixar milhões de usuários em risco.

Para dar um pouco de contexto, a Qualcomm é uma das principais fornecedoras de chips para várias empresas de tecnologia. Em 2019, sua série de processadores Snapdragon podia ser encontrada em quase 40% de todos os smartphones Android, incluindo aparelhos de ponta do Google, Samsung, Xiaomi, LG, e OnePlus.

Pesquisadores da Check Point, uma empresa de cibersegurança, descobriram que o processador de sinal digital (DSP) nos chips da Qualcomm Snapdragon tem mais de 400 trechos de códigos vulneráveis. As vulnerabilidades, chamadas de “Achilles” em seu conjunto, podem ter impacto nos celulares de três maneiras principais.

Os atacantes teriam apenas que convencer alguém a instalar um aplicativo aparentemente inofensivo que contornasse as medidas de segurança usuais. Uma vez feito isso, o invasor poderia transformar o celular afetado em uma ferramenta de espionagem. O ataque seria capaz de acessar as fotos, vídeos, GPS e dados de localização do aparelho. Os hackers também poderiam potencialmente gravar chamadas e ligar os microfones do telefone sem que o proprietário nunca soubesse.

Alternativamente, um atacante poderia optar por tornar o smartphone completamente inutilizável, bloqueando todos os dados nele armazenados no que os pesquisadores descreveram como um “ataque de negação de serviço direcionado”. Finalmente, os hackers também poderiam explorar as vulnerabilidades para esconder o malware de uma forma que seria desconhecido para a vítima, e irremovível.

Parte do porquê de terem sido encontradas tantas vulnerabilidades é que o DSP é uma espécie de “caixa preta”. É difícil para qualquer outra pessoa que não seja o fabricante do DSP analisar o que faz eles funcionarem. Isso pode ser visto como uma coisa boa, pois faz deles um osso duro de roer. Por outro lado, também significa que os pesquisadores de cibersegurança não podem testá-los facilmente, o que significa que eles provavelmente possuem várias falhas de segurança desconhecidas.

O outro lado disso é que o DSP permite muitas das características inovadoras que temos nos smartphones. Isso inclui coisas como carregamento rápido, e vários recursos multimídia como vídeo, captura HD, e realidade aumentada avançada. Isso torna o DSP um componente super eficiente e econômico, mas potencialmente abre mais caminhos para os hackers controlarem os dispositivos.

A Check Point diz ter divulgado suas conclusões à Qualcomm, a funcionários de governos e às empresas afetadas. Entretanto, a empresa disse que não publicaria as informações sobre a falha “Achilles”, já que possivelmente milhões de dispositivos continuam em risco.

Embora a Qualcomm tenha consertado o problema depois de ter sido notificada, isso não significa que seu smartphone Android esteja automaticamente seguro. Cabe às fabricantes de telefones lançarem os patches de segurança relevantes para sua base de clientes, o que pode levar algum tempo.

Em declaração à CNET, a Qualcomm diz que “trabalhou diligentemente para validar o problema e disponibilizar mitigações apropriadas” para os fabricantes de smartphones. E embora a empresa disse não ter encontrado nenhuma evidência de que vulnerabilidade Achilles tenha sido explorada, ela aconselhou os usuários do Android a atualizarem seus celulares à medida que os patches forem disponibilizados e apenas instalarem aplicativos verificados de lojas de aplicativos oficiais.