Ict-beveiliger Check Point heeft vier kwetsbaarheden ontdekt in Android-apparatuur die gebouwd zijn op Qualcomm-chipsets. Volgens de beveiliger kunnen criminelen apparaten volledig overnemen via een zogenoemde QuadRooter. Voglens de onderzoekers maakt het beveiligingslek negenhonderd miljoen apparaten kwetsbaar.
De kwetsbaarheden zijn gevonden in de software-drivers die Qualcomm verstuurt met zijn chipsets. ‘Met behulp van een kwaadaardige app kan een aanvaller, zonder gebruik te maken van speciale rechten, de kwetsbaarheden uitbuiten’, stellen de beveiligingsonderzoekers tijdens het Def Con 24-congres in Las Vegas.
Check Point noemt de kwetsbaarheden QuadRooter. ‘Als er misbruik van gemaakt wordt, kunnen aanvallers volledige controle krijgen over de apparaten en ongelimiteerde toegang verkrijgen tot de persoonlijke- of bedrijfsdata die erop staan. Daarnaast bestaat het risico op keylogging, gps-tracking en het opnemen van video en audio’, aldus de experts.
Volgens de onderzoekers kunnen de kwetsbaarheden alleen verholpen worden door een patch te installeren die afkomstig is van de distributeur of carrier van het device en kunnen die partijen dat alleen uitvoeren wanneer zij gerepareerde driver packs van Qualcomm krijgen.
Qualcomm
De onderzoekers stellen dat Qualcomm in april 2016 op de hoogte is gesteld van de kwetsbaarheden. Vervolgens had Qualcomm negentig dagen de tijd om patches te produceren, voordat details over de kwetsbaarheden openbaar zouden worden gemaakt. Qualcomm heeft de kwetsbaarheden onderzocht, als ‘high risk’ geclassificeerd en patches uitgebracht voor Original Equipment Manufacturers (OEM’s).
900 miljoen apparaten kwetsbaar
De kwetsbaarheid is volgens de onderzoekers aanwezig bij naar schatting negenhonderd miljoen apparaten. Het gaat onder meer om de modellen.
- Samsung Galaxy S7 & S7 Edge
- Sony Xperia Z Ultra
- Google Nexus 5X, 6 & 6P
- HTC One M9 & HTC 10
- LG G4, G5 & V10
- Motorola Moto X
- OnePlus One, 2 & 3
- BlackBerry Priv
- Blackphone 1 & 2
Het zoveelste voorbeeld van “security exposure”. Ook op het hackers congres was deze week een waarschuwing te horen mbt de veiligheid van internet. Het zal niet het laatste zijn…
Zolang we symptomen blijven bestrijden en geen intrinsiek veilige software maken om informatie over te dragen, binnen en tussen systemen, zal dit probleem zich blijven voordoen. De consequentie trekken heeft wel ingrijpende gevolgen. Hoe langer we er echter mee wachten hoe groter de gevolgen en kosten zullen zijn. “Intrinsic safe software” levert op Google slechts 240 hits op, die terug gaan naar 18 “relevante” URL’s. Opvallend aanwezig daarbij is de PLC, een onderdeel van SCADA systemen, waar men het begrip “intrinsic safe” blijkbaar wel begrijpt.