A Check Point Research által felfedezett biztonsági rés lehetővé teheti egy rosszindulatú alkalmazás számára, hogy kihagyja a szokásos biztonsági funkciókat, hozzáférést biztosítva a hívás- és szöveges előzményekhez. Ez a támadónak lehetőséget nyújt beszélgetések rögzítésére is.
A Qualcomm Modem Interface (QMI) szoftverhez általában nem fér hozzá harmadik fél által készített alkalmazás, de ha az Android kulcsfontosságú aspektusait feltörik, a QMI sebezhetőség felhasználható aktív telefonhívások meghallgatására és rögzítésére.
A QMI-t az Androidos készülékek 40%-ában használják, beleértve a Google, a Samsung, a OnePlus, az LG, a Xiaomi és más készülékeket is. A Check Point bizonyos információkat nem adott meg jelentésben, hogy megbizonyosodjon arról, hogy a támadást nem lehet könnyen lemásolni. Nincs arra utaló jel, hogy a támadást rosszindulatú hacker használta volna.
A Check Point mindezt tavaly októberben prezentálta a Qualcomm számára, magas rangú sebezhetőségnek nevezve. A chipgyártó a telefongyártóknak elmondta, hogy használják inkább az újabb, ezt a sebezhetőséget nem tartalmazó chipeket. Eddig a biztonsági rést nem sikerült kijavítani, és csak remélni tudjuk, hogy a Qualcomm és a Google ezt egy későbbi biztonsági frissítésben javítja.
A Qualcomm szerint azonban tavaly decemberben "sok" androidos telefongyártó rendelkezésére bocsátotta a javításokat, és ezek a cégek biztonsági frissítéseket adtak át a végfelhasználóknak. A biztonsági rés befoltozása a júniusi biztonsági frissítés része lesz.
A Qualcomm ma közleményt adott ki, amely kimondta: "A robusztus biztonságot és adatvédelmet támogató technológiák biztosítása kiemelt fontosságú a Qualcomm számára. Köszönetet mondunk a Check Point biztonsági kutatóinak az iparági szabványok összehangolt nyilvánosságra hozatali gyakorlatának használatáért. A Qualcomm Technologies már javításokat tett elérhetővé az OEM gyártók számára 2020 decemberében, és arra ösztönözzük a végfelhasználókat, hogy frissítsék eszközeiket, amint a javítások elérhetővé válnak."
