Uma vulnerabilidade recém-descoberta dentro de chips produzidos pela Qualcomm pode ser explorada para obter acesso a dados em smartphones e outros dispositivos, permitindo que um usuário mal-intencionado monitore chamadas telefônicas e mensagens de texto da vítima. O bug foi descoberto e divulgado pela empresa de segurança Check Point Research.
De acordo com a companhia, a falha pode ser explorada em pelo menos 30% dos telefones Android em todo o mundo. Os chips da Qualcomm estão presentes na grande maioria dos celulares, tendo contratos com as principais fabricantes, como Samsung, Google, Xiaomi e LG, e ajudando no fornecimento de processadores para milhões de dispositivos.
Embora os pesquisadores digam que os chips vulneráveis são encontrados em cerca de 40% da população global de telefones, “apenas” 30% dos smartphones no mundo vêm equipados com uma interface proprietária específica — a Interface Qualcomm MSM (QMI) —, necessária para que os ataques sejam realizados.
O hardware afetado são os já conhecidos sistemas-em-um-chip (SoC), responsáveis por fornecer recursos para a maioria dos componentes importantes de um telefone. Segundo a Check Point, o ataque necessitaria de acesso ao sistema operacional de um dispositivo visado, mesmo que esse acesso pudesse ser realizado por meio de um aplicativo mal-intencionado de Trojan ou algum outro método que permitisse a um invasor conseguir hacker um aparelho silenciosamente.
Com o aparelho invadido, um invasor pode injetar um código malicioso no modem para revelar informações confidenciais. Nesse caso em específico da Qualcomm, o ataque sequestraria a QMI de um telefone, que é o protocolo que governa a comunicação entre os diferentes componentes de software dentro do SoC. Tal exploração pode permitir o acesso a mensagens de texto e histórico de chamadas, ou que um hacker ouça as chamadas de um usuário. Em alguns casos, eles também podem obter acesso ao conteúdo do cartão SIM.
“Os chips de celular costumam ser considerados as joias da coroa para os ciberataques, especialmente os chips fabricados pela Qualcomm”, disse Yaniv Balmas, chefe de pesquisa cibernética da Check Point. “Um ataque aos processadores da Qualcomm tem o potencial de afetar negativamente centenas de milhões de telefones celulares em todo o mundo. Minha principal mensagem para os usuários do Android é atualizar para a versão mais recente do sistema operacional”, completa.
Ainda não se sabe se a Qualcomm já disponibilizou uma atualização industrial para corrigir o problema. Esse update é liberado pela própria Qualcomm, que lança um patch de conserto para as fabricantes de smartphones, que por sua vez lança as correções para seus respectivos aparelhos. Ao site Ars Technica, um porta-voz da Qualcomm recomenda que os usuários entrem em contato com as fabricantes para entender o status das atualizações.