Qualcomm vulnerability impacts nearly 40% of all mobile phones
2021/05/06 BleepingComputer — Qualcomm の Mobile Station Modem (MSM) チップに、深刻度の高い脆弱性が見つかった。このチップには、最新の 5G に対応しているバージョンもあり、携帯ユーザーのテキスト・メッセージや通話履歴への不正アクセスや、会話を盗聴などが生じる可能性がある。
Qualcomm MSM は、2G / 3G / 4G / 5G に対応した SoC (system on chips) であり、Samsung / Google / LG / OnePlus / Xiaomi などを含む、Android スマホの約 40% で採用されているという。Check Point の研究者によると、この脆弱性 CVE-2020-11292 が悪用された場合、攻撃者は Android OS を入口として、悪意のある不可視のコードをスマホに注入できるという。また、この脆弱性を悪用して、ネットワーク認証情報などに使用される SIM (Subscriber Identification Module) のロック解除も可能になるという。
Qualcomm は CVE-2020-11292 に対するパッチを、昨年に OEM に送付しているため、その後にアップデートを受けている Android ユーザーは、この攻撃から保護されているはずだと、この記事は指摘しています。しかし、2〜3年の間に、新しい Android に対応したスマホに買い換えていないユーザーは、不幸な状況に陥るかもしれないとも述べています。たぶん、Android 10 以降なら大丈夫なのかと思いますが、Android 端末全体に対して、約 19%が Pie 9.0 (2018年8月リリース) を使い、9% 以上が 8.1 Oreo (2017年12月リリース) を使っているというデータもあるようです。
IoT OT Security News 