מאות חולשות התגלו בקוד של שבבי קואלקום (Qualcomm) וטרם תוקנו, כך נחשף בסוף השבוע על ידי חוקרי צ’ק-פוינט (CheckPoint) הישראלית.
בבלוג החברה חשפה צ’ק-פוינט מעט מאוד פרטים אודות הסכנות וכן תערוך מפגשים וירטואליים שהראשונה ביניהן נערכה ביום שישי האחרון והשנייה תיערך בחמישי הקרוב. זאת מאחר שקואלקום וממשלות שונות אמנם יודעות על הפרצות כבר מהחודש שעבר, אך תיקונן בפועל עשוי לקחת חודשים, וחברת האבטחה ראתה לנכון ליידע את הציבור בקיומה של הבעיה, אך לא בפרטים שיאפשרו להאקרים לנסות לנצל אותה. לדבריהם, הפרצה משפיעה על לפחות 40% מ-3 מיליארד הטלפונים החכמים שנמכרו בעולם בשנים האחרונות בינהן של LG, גוגל (Google), סמסונג (Samsung), שאומי (Xiaomi) וואן-פלוס (OnePlus) ואחרות.
הפרצות התגלו בקוד התוכנה המשולבת בשבב ה-DSP (מעבד אותות דיגיטליים) של קואלקום, האחראי בעיקר על משימות הקשורות בתקשורת, אודיו וצילום. הן איפשרו לפורצים להתקין על המכשיר רושעות בלתי ניתנות לזיהוי או להסרה, לגשת למידע כגון תמונות, סרטונים, מיקום, הקלטות שיחה ואף להקליט את המשתמש בזמן אמת, ואף לחסום את המשתמש מגישה למידע על המכשיר, ובעצם להפוך את המכשיר לבלתי ניתן לשימוש. כל זה ללא כל צורך בפעולה מצדו של המשתמש.
צ’ק-פוינט החליטה לקרוא למחקר שגילה את החולשות הרבות “אכילס”, על שם הגיבור היווני שכל גופו היה מוגן מלבד העקב שבו אחזה אימו כשטבלה אותו בנהר. באופן דומה, שבב ה-DSP נמצא לדברי החוקרים באחיזתה של קואלקום, שאינה מאפשרת ליצרניות מכשירים המשתמשות בשבבים גישה לקוד. כך נוצרת מעין ‘קופסא שחורה’ במכשיר, שיצרניות המכשירים לא יכולות להגן עליה מבלי שקואלקום עצמה תעשה זאת עבורן.
קואלקום מסרה בתגובה כי “אספקת טכנולוגיות התומכות בפרטיות ואבטחה חסונות היא עדיפות עבור קואלקום. בנוגע לפרצה בשבב ה-DSP שהתגלתה על ידי צ’ק-פוינט, שקדנו על אימות הבעיה והנגשת פתרונות הולמים ליצרניות מכשירים. אין לנו ראיה כי הבעיה מנוצלת כרגע (על ידי האקרים). אנו מעודדים משתמשי קצה לעדכן את מכשיריהם ברגע שיהיו תיקונים זמינים ולהתקין רק אפליקציות ממקורות אמינים כמו Google Play Store”.