Threats
Vulnerabilidade crítica descoberta nos chips UNISOC leva a que 11% dos smartphones de todo o mundo estejam em risco de segurança
04/06/2022
|
A Check Point Research (CPR) identificou vulnerabilidades críticas de segurança no chip UNISOC responsável pela comunicação móvel de 11% dos telemóveis do mundo. Deixada por resolver, a vulnerabilidade permitiria a um atacante neutralizar ou bloquear comunicações. A investigação da CPR marca a primeira vez em que um chip da UNISOC foi sujeito a técnicas de engenharia inversa para examinação de falhas de segurança. Quando comunicada à UNISOC, a vulnerabilidade foi classificada com um 9.4 em 10 no grau de criticidade. A CPR explica que digitalizou os processadores de mensagens NAS num curto período de tempo, encontrando uma vulnerabilidade, que poderia ser utilizada para perturbar a comunicação rádio do dispositivo. Um hacker ou unidade militar poderiam aproveitar-se desta vulnerabilidade para neutralizar as comunicações numa localização específica. A CPR partilhou as suas conclusões com a UNISOC em maio de 2022, que identificaram a vulnerabilidade, classificando-a com um 9.4 em 10 no grau de criticidade. Desde aí, a UNISOC lançou uma patch, CVE-2022-20210. A Google confirmou que irá publicar a patch no próximo Boletim de Segurança para Android. “Somos os primeiros a utilizar a técnica de engenharia inversa e a investigar o modem UNISOC quanto a possíveis vulnerabilidades. Encontrámos uma vulnerabilidade no modem UNISOC, integrado em 11% dos smartphones. Um atacante poderia utilizar uma estação de rádio para enviar um pacote de malformações que reiniciaria o modem, impedindo o utilizador de comunicar. Caso fosse deixada por resolver, a comunicação móvel poderia ser bloqueada pelo atacante. A vulnerabilidade está no firmware do modem, e não no próprio Android. Não há nada que os utilizadores de Android possam fazer de momento, mas recomendamos vivamente que seja aplicada a patch que será lançada pelo Google no próximo Boletim de Segurança para Android”, afirma Slava Makkaveev, Reverse Engineering & Security Research attorneys da Check Point Software. |
Receba todas as novidades na sua caixa de correio!
THREATS
Microsoft corrige falhas de segurança críticas em RCE e zero day
ANALYSIS
Operação da Sophos descobre vasto ecossistema de adversários na China
THREATS
HPE corrige vulnerabilidades críticas em access points Aruba
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
NEWS
EUA lançam framework para utilização de IA em infraestruturas críticas
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
THREATS
Falha crítica em plugin do WordPress expôs mais de quatro milhões de sites
THREATS
Citrix corrige vulnerabilidades críticas no Session Recording Manager
THREATS
Vulnerabilidade não corrigida em NAS está a ser explorada
THREATS
Cibercriminosos chineses invadem telecomunicações dos EUA para espiar altos funcionários
