In Androidtoestellen met Qualcomm-chips hebben onderzoekers vier kwetsbaarheden ontdekt waardoor aanvallers roottoegang kunnen krijgen en toestellen volledig kunnen overnemen. Volgens beveiligingsbedrijf Check Point, dat de problemen ontdekte (pdf), zijn 900 miljoen toestellen kwetsbaar.
De beveiligingslekken zijn aanwezig in de softwaredrivers van Qualcomm die met de chips van het bedrijf geleverd worden. Deze drivers, die de communicatie tussen de onderdelen van het toestel regelen, worden door fabrikanten zoals Samsung en LG aan hun Androidversie toegevoegd. De kwetsbaarheden zijn via een kwaadaardige app uit te buiten. Deze kwaadaardige app vereist echter geen speciale permissies om de beveiligingslekken aan te vallen.
Volgens de onderzoekers van Checkpoint gaat het voornamelijk om de volgende types smartphones:
- BlackBerry Priv en Dtek50
- Blackphone 1 en Blackphone 2
- Google Nexus 5X, Nexus 6 en Nexus 6P
- HTC One, HTC M9 en HTC 10
- LG G4, LG G5, en LG V10
- New Moto X van Motorola
- OnePlus One, OnePlus 2 en OnePlus 3
- Samsung Galaxy S7 en Samsung S7 Edge
- Sony Xperia Z Ultra
In april van dit jaar werd Qualcomm over de problemen ingelicht en de chipfabrikant stuurde vervolgens beveiligingsupdates naar fabrikanten. Het is echter onduidelijk welke fabrikanten inmiddels beveiligingsupdates voor de problemen hebben uitgerold, als dat al het geval is. De cve-nummers waarmee de kwetsbaarheden worden aangeduid leveren namelijk amper hits op en zijn ook niet in de beveiligingsbulletins van Google terug te vinden.
Mochten de updates beschikbaar worden dan krijgen gebruikers het advies die zo snel als mogelijk te installeren. Check Point waarschuwt in het onderzoeksrapport voor de problematiek rondom het updaten van Androidtoestellen, waardoor sommige apparaten nooit updates zullen ontvangen en permanent kwetsbaar blijven.