Qualpwn: uma nova vulnerabilidade WiFi que afecta dispositivos com chips Qualcomm
6 Agosto, 2019O patch de segurança do sistema operativo Android, referente ao mês de Agosto, corrige duas vulnerabilidades que afectam os chips da Qualcomm, permitindo que os dispositivos móveis acedam ao seu modem e rede Wifi.
Apelidado de Qualpwn e descoberto pela equipa de segurança chinesa da Tencent, Tencent Blade, ele poderia criar buffer overflows para acesso estendido a dispositivos móveis.
A vulnerabilidade exigia que o invasor estivesse na mesma rede WiFi do dispositivo de destino, limitando o escopo da acção mal-intencionada, mas depois permitia o comprometimento sem a intervenção do utilizador.
As vulnerabilidades CVE-2019-10538 e CVE-2019-10540 foram testadas nos smartphones Google Pixel 2 e Pixel 3, o que faz com que os seus autores digam que o Snapdragon 835 e 845 estão afectados por esse problema, mas a Qualcomm já lançou uma lista de processadores potencialmente afectados por essas falhas. E tendo em conta o que foi revelado, não são assim tão poucos quanto isso, já que, desde os modelos mais antigos, e até ao último SoC anunciado, muitos estão afectados, como são os casos dos Snapdragon 855, 8CX, Snpadragon 710/712, 730, 675, e muitos outros.
O patch de Agosto resolve essas falhas relevantes e o Qualpwn é para ser objecto de uma apresentação detalhada durante os eventos Black Hat EUA 2019 e DEFCON 27. O problema agora será transmitir o patch de segurança para todos os dispositivos móveis envolvidos…. algo que não está nem nas mãos da Google nem da Qualcomm, e terão de ser as fabricantes a fazê-lo.
Se o mais provável é que dispositivos mais recentes não deverão ter problemas com isso, já que as fabricantes continuam a disponibilizar os patachs de segurança, o mesmo não posso afirmar para os dispositivos mais antigos… que provavelmente “morrerão” com essa falha por resolver. No entanto, a falha apesar de ser grave, não é facil de ser explorada, pelo que não é assim tão preocupante.
Joel Pinto
Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.
