Dos son las vulnerabilidades graves presentes en los populares chipset del fabricante mundial Snapdragon; una de estas fallas permitirá a los atacantes comprometer el kernel de Android de forma remota.
Los problemas fueron validados en los componentes WLAN del Snapdragon 835 y 845, mientras que las pruebas fueron realizadas en los teléfonos de Google, Pixel 2 y 3, a pesar de ello cualquier equipo es vulnerable si no ha sido actualizado con el parche necesario.
La primera vulnerabilidad, rastreada como CVE-2019-10538, corresponde a un desbordamiento de búfer que afecta el componente Qualcomm WLAN y el kernel de Android. La falla se calificó como un problema de alta gravedad, y fue solucionado con una corrección de código en el código fuente del sistema operativo Android.
La segunda falla, registrada como CVE-2019-10540, también de desbordamiento de búfer que afecta el componente WLAN de Qualcomm y el firmware del módem que se entrega con los chips de la compañía. Según el aviso oficial de seguridad de Qualcomm, la falla CVE-2019-10540 afecta a un gran número de chipsets, entre ellos: IPQ8074, MSM8996AU, QCA6174A, QCA6574AU, QCA8081, QCA9377, QCA9379, QCS404, QCS405, QCS605, SD 636, SD 665, SD 675, SD 712, SD 710, SD 670, SD 730, SD 820, SD 835 SD 845, SD 850, SD 855, SD 8CX, SDA660, SDM630, SDM660 y SXR1130.
Los investigadores a cargo, proporcionarán detalles técnicos sobre los errores de QualPwn y su explotación en la conferencia de seguridad Black Hat USA 2019 y en la nueva versión de la DEFCON 27, en la cual Arkavia Networks estará presente.
Según fuentes, el próximo boletín de seguridad de Android de agosto de 2019 abordará ambos errores de QualPwn. Qualcomm ya ha publicado correcciones para los OEM (fabricantes de equipos originales) y está alentando a los usuarios finales a actualizar sus dispositivos a medida que los OEM dispongan de parches y/o actualizaciones.
Desafortunadamente, una gran cantidad de dispositivos seguirán siendo vulnerables durante mucho tiempo, debido a las políticas de cada OEM para recibir actualizaciones del proveedor. Otro aspecto a considerar es que no todos los proveedores trabajan en la actualización de Android a diferencia de Google y sus teléfonos.
REFERENCIA
COMENTARIOS