Uma vulnerabilidade encontrada em milhões de telefones Google, Samsung e LG com chipset Qualcomm permitia invasores acessar o histórico de chamadas, SMS e ouvir as conversas do usuário.
De acordo com pesquisadores da empresa israelense de segurança cibernética Checkpoint, a falha de segurança foi identificada na interface de modem de estação móvel da Qualcomm.
"Um invasor pode usar essa vulnerabilidade para injetar código malicioso no modem do Android. Isso dá ao invasor acesso ao histórico de chamadas e SMS do usuário, bem como a capacidade de ouvir as conversas do usuário", escreveu Makkaveev, pesquisador da Checkpoint.
Segundo Makkaveev, a interface de modem de estação móvel Qualcomm permite que o chipset se comunique com o sistema operacional do smartphone e manipular o chip SIM.
"Um hacker pode explorar a vulnerabilidade para desbloquear o SIM, superando assim as limitações dos provedores de serviço impostas ao dispositivo móvel", acrescentou.
O relatório da Check Point alertou que o problema pode ser encontrado em cerca de 30% dos smartphones em circulação no mundo.
A empresa notificou a Qualcomm sobre a vulnerabilidade em outubro, com o código "CVE-2020-11292" reportado como uma "vulnerabilidade de alta classificação".
Em nota, a Qualcomm disse que enviou os patches de correção aos fabricantes de smartphones em dezembro de 2020.
"Elogiamos os pesquisadores de segurança da Check Point por usarem práticas de divulgação coordenadas padrão da indústria. A Qualcomm Technologies já disponibilizou correções para OEMs em dezembro de 2020 e incentivamos os usuários finais a atualizarem seus dispositivos à medida que as correções forem disponibilizadas", disse um porta-voz da Qualcomm.
De acordo com a Qualcomm, todos os fabricantes foram notificados sobre a vulnerabilidade em outubro de 2020 e as correções foram disponibilizadas em dezembro de 2020.
A vulnerabilidade também será incluída no boletim público do Android em junho de 2021. O chip SIM está em celulares e smartphones desde a década de 1990 e tem sido continuamente atualizado ao longo dos anos.
Embora a Qualcomm tenha corrigido o problema, Kulkarni questionou quem está responsabilizando as outras partes do ecossistema pelo problema.
Via: Check Point
