Sicherheitslücken: Millionen Smartphones mit Snapdragon-Chip verwundbar
Mehr als 400 Sicherheitslücken will die Sicherheitsfirma Checkpoint in dem Digitalen Signalprozessor (DSP) der Snapdragon-Chips von Qualcomm entdeckt haben(öffnet im neuen Fenster) . Der Chip ist beispielsweise für Multimedia- und Ladefunktionen wie Quick-Charge zuständig und steckt unter anderem in Smartphones der Hersteller Google, Samsung, LG, Xiaomi und Oneplus. Hunderte Millionen von Geräten sollen betroffen sein, obwohl die Lücken bereits geschlossen wurden.
Die Sicherheitslücken (CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 and CVE-2020-11209) können von einer Schad-App ausgenutzt werden, die Betroffene zuvor installieren müssen. Diese könne die volle Kontrolle über das Gerät erlangen und unbemerkt Daten exfiltrieren, teilte Checkpoint mit. Demnach sei ein Zugriff auf Fotos, Videos und Gesprächsaufzeichnungen möglich, aber auch auf das Mikrofon oder die GPS- und Standortdaten. Die Lücken könnten zudem dazu genutzt werden, Schadsoftware auf dem Smartphone zu verbergen oder das Gerät unbenutzbar zu machen.
Checkpoint entdeckte die Sicherheitslücken durch Fuzzing, bei dem Programme mit zufälligen Daten gefüttert werden. Nach der Entdeckung meldete das Unternehmen die Lücken an Qualcomm. Obwohl Qualcomm die Probleme gelöst habe, seien weiterhin Millionen Smartphones betroffen, da es bei der langen Lieferkette der Geräte Monate oder Jahre dauern könne, bis die Sicherheitsupdates auf den einzelnen Smartphones ankämen, erklärte Yaniv Balmas, Sicherheitsforscher bei Checkpoint.
Aus diesem Grund habe sich die Sicherheitsfirma dazu entschieden, keine Details zu den Sicherheitslücken zu veröffentlichen. Da Smartphones teils nach wenigen Jahren keine Sicherheitsupdates mehr erhalten, dürften einige Geräte für immer verwundbar bleiben.