IT-Sicherheit 20.08.2020

Achilles – über 400 Schwachstellen in Qualcomm’s Snapdragon Chip.

Check Point hat bei Untersuchungen, die unter dem Namen „Achilles“ zusammengefasst wurden, über 400 Schwachstellen in Qualcomm’s Snapdragon DSP Chip entdeckt. Dies betrifft somit circa 40% der weltweit verwendeten Mobiltelefone und macht diese anfällig für Angriffe.

Artikel teilen

Die verschiedenen Schwachstellen wurden bereits von Qualcomm bestätigt und werden unter folgenden CVEs geführt: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 und CVE-2020-11209.

 

Welche Systeme sind betroffen?

Alle Smartphones die Snapdragon Chips verwenden sind für diese Lücke anfällig, dies betrifft unter anderem Hersteller wie Google, Samsung, LG, Xiaomi oder OnePlus. Huawei verwendet hauptsächlich die eigenen Kirin Chips und ist daher primär nicht von dieser Schwachstelle betroffen. 

 

Die Schwachstellen können zum aktuellen Zeitpunkt nur ausgenutzt werden, sofern der Benutzer eine bösartige Applikation auf seinem Smartphone installiert, eine Ausnutzung mittels präparierter Links oder E-Mail-Anhängen ist nicht möglich. Es besteht durchaus die Möglichkeit solche bösartigen Applikationen im Google App Store zu veröffentlichen, daher bietet die Nutzung von offiziellen App Stores keinen Schutz vor dieser Schwachstelle.

 

Bei einem erfolgreichen Angriff erhält die Schadsoftware jedoch vollständigen Zugriff auf das Smartphone und kann nach Belieben Daten kopieren, unbemerkt Gespräche, Videos und GPS Daten aufzeichnen oder das Gerät unbrauchbar machen.

 

Qualcomm hat den Herstellern bereits aktualisierte Softwarepakete zur Verfügung gestellt, um anfällige Softwarekomponenten abzusichern. Da es sich bei CVE-2020-11209 jedoch um eine Downgrade Vulnerability handelt die in der Hardware der DSP Chips zugrunde liegt, ist es vermutlich nicht möglich alle Lücken vollständig zu schließen. Ein Angreifer könnte somit einfach eine alte und noch verwundbare DSP-Komponente in einer bösartigen Applikation verwenden, da lediglich eine Überprüfung der digitalen Signatur und keine Versionskontrolle durch den DSP-Chip durchgeführt wird.

 

Welche Maßnahmen sind erforderlich?

Wir empfehlen zeitnah alle von den Herstellern bereitgestellten Updates einzuspielen, aufgrund der Fragmentierung im Android-Umfeld kann es erwartungsgemäß einige Zeit dauern bis diese zur Verfügung stehen. Generell sollten nur Applikationen von bekannten und vertrauenswürdigen Herausgebern installiert werden.

 

Nach unserem derzeitigen Kenntnisstand bietet ausschließlich der Mobile Sandblast Agent von CheckPoint einen wirksamen Schutz vor derartigen Bedrohungen.

 

Charles Kionga
Principal Consultant Geschäftsbereichsleitung IT-Security