Via een chip van Qualcomm, die in ongeveer veertig procent van alle Android-telefoons zit, kunnen hackers de gsm bespioneren, niet meer laten reageren of kwaadaardige activiteiten verbergen. Dat hebben onderzoekers van de securityspecialist Check Point ontdekt.
De chip in kwestie is een zogenaamde digital signal processing (dsp)-chip die volgens Check Point ‘honderden’ kwetsbare delen code bevat. Hij zit in telefoons van Google, Samsung, LG, Xiaomi, OnePlus en andere merken. Een dergelijke chip is gespecialiseerd in het verwerken van realtime-signalen, zoals spraak-, video- en omgevingssignalen, en deze om te zetten in verwerkbare digitale data. De chip wordt bijvoorbeeld gebruikt om je stem te herkennen als je ‘Hé, Google’ naar je telefoon roept.
Check Point ziet drie grote problemen met de dsp’s van Qualcomm. Hackers kunnen de smartphone in een perfect spionagetoestel omtoveren, zonder dat er enige gebruikersinteractie nodig is. Alle data op de telefoon is te lekken, van foto’s, video’s, telefoongesprekken tot realtime-opnames via de microfoon, gps- en locatiegegevens. Het is ook mogelijk de telefoon niet meer te laten reageren, waardoor alle informatie – inclusief foto’s, video’s, contactgegevens – permanent niet meer beschikbaar is. Tot slot kan malware en andere kwaadaardige codes de activiteiten van een hacker volledig verbergen. Bovendien is deze malware niet zomaar te verwijderen.
Het is ook niet zo gigantisch moeilijk om de kwetsbaarheid uit te buiten, zegt Check Point. Daarvoor zou een hacker zijn slachtoffer enkel moeten overtuigen om een eenvoudige app te installeren. Die app moet zelfs geen machtiging of toegangsrechten krijgen.
Nog maanden of jaren geduld
Uit de studie naar de Qualcomm-dsp leiden de onderzoekers van Check Point af dat deze chips een nieuwe en serieuze opportuniteit vormen voor hackers. De chips introduceren nieuwe aanvalsmogelijkheden en zwakke punten in deze mobiele apparaten. Bovendien zijn ze veel kwetsbaarder voor risico’s omdat ze worden beheerd als een soort ‘zwarte doos’, waardoor het voor iemand anders dan de fabrikant zeer complex kan zijn het ontwerp, functionaliteit of code van de dsp-chip te beoordelen.
Het beveiligingsbedrijf heeft zijn bevindingen – zoals verplicht – aan Qualcomm kenbaar gemaakt. De chipproducent heeft de beveiligingslekken erkend en de relevante leveranciers op de hoogte gebracht door patches uit te geven. Het is nu aan de smartphonefabrikanten, zoals Google, Samsung en Xiaomi, om deze patches te integreren in hun volledige aanbod, zowel nieuwe toestellen in productie als toestellen die al verkocht zijn. Daarnaast werd besloten om niet de volledige technische details van deze kwetsbaarheden te publiceren totdat gsm-bouwers een oplossing hebben voor de mogelijke risico’s die beschreven zijn. Allicht zal het nog maanden of jaren duren eer alle problemen met de chips opgelost zijn.