Qualcomm-sirun haavoittuvuus? Älä pelkää! Patch-korjaukset ovat olleet käytettävissä lokakuusta 2018 lähtien

  28. huhtikuuta Qualcomm sanoi, että NCC Groupin viime maaliskuussa havaittu Qualcomm-siru, jonka numero oli CVE-2018-11976, oli toimittanut päätelaitteiden valmistajille viime vuoden lopulla turvapaikat ja nyt se on korjattu.

On selvää, että tämä haavoittuvuus, numeroitu CVE-2018-11976, voi varastaa Qualcomm-siruihin tallennetut luottamukselliset tiedot ja vaikuttaa Android-laitteisiin, jotka käyttävät niihin liittyviä siruja.

Viime vuoden haavoittuvuuden havaitsemisen jälkeen Qualcomm ilmoitti asiakkailleen lokakuussa 2018 ja toimitti asiakkailleen suojauskorjauksia. Samaan aikaan se julkaistiin tämän vuoden huhtikuussa NCC Groupia kuultuaan alan käytännön mukaisesti.

On raportoitu, että haavoittuvuus vaatii ydinoikeuksia käynnistääksesi hyökkäyksen. Toisin sanoen haavoittuvuutta voidaan hyödyntää sillä edellytyksellä, että päätelaite on syvästi tunkeutunut. Jos käyttäjä on päivittänyt valmistajan toimittaman ohjelmistopäivityksen, se tarkoittaa, että ohjelmiston haavoittuvuus on korjattu.

Qualcomm korosti, että päätelaitteiden toimittajille toimitettiin turvavälineitä viime vuoden lopussa, eikä haavoittuvuuksia ole toistaiseksi havaittu.

Alan yleinen käytäntö on työskennellä alan turvallisuusalan tutkimusorganisaatioiden kanssa ohjelmistojen haavoittuvuuksien tunnistamiseksi ja tietoturvakorjausten antamiseksi ajoissa. Loppukäyttäjälle päätelaitteen turvallisuus voidaan varmistaa päivittämällä päätelaite ajoissa sen jälkeen, kun operaattori tai päätelaitteen valmistaja on toimittanut ohjelmistopäivityksen, ja lataamalla sovelluksen vain suojatusta sovellusmyymälästä.