Hackers kunnen toegang krijgen via lek in een Qualcomm-chip die in meer dan 40 procent van de smartphones wereldwijd zit. Hoewel Qualcomm een patch klaar heeft, moeten smartphone-fabrikanten de oplossingen nog uitvoeren, waardoor de dreiging blijft. Daarvoor waarschuwt Check Point Software Technologies.

Onderzoekers van Check Point Software Technologies hebben honderden kwetsbare codeonderdelen ontdekt in een chip die in meer dan 40 procent van de telefoons wereldwijd zit. De chip, in de branche bekend als Digital Signal Processor (DSP), wordt geproduceerd door Qualcomm en zit in bijna elke Android-telefoon, inclusief de high-end smartphones van Google, Samsung, LG, Xiaomi, OnePlus en andere merken. In een onderzoeksrapport met de titel ‘DSP-Gate’ dat vrijdag op de online hackersconferentie Def Con 2020 werd gepresenteerd, schetsten de onderzoekers van Check Point de grote beveiligingsrisico’s van meer dan 400 kwetsbaarheden die ze in de Qualcomm DSP vonden.

Spionage
Hackers kunnen de smartphone in een spionagetoestel veranderen, zonder dat er enige gebruikersinteractie nodig is. Alle data op de telefoon kan worden gelekt. Denk aan onder andere foto’s, video’s, telefoongesprekken, real-time opnames via de microfoon, GPS- en locatiegegevens.
Ze kunnen ervoor zorgen dat de telefoon niet meer reageert, waardoor alle informatie – inclusief foto’s, video’s, contactgegevens – op de telefoon permanent niet meer beschikbaar is.
De telefoon verbergt kwaadaardige activiteiten. Malware en andere kwaadaardige codes kunnen de activiteiten van een hacker volledig verbergen. Bovendien is deze malware niet zomaar te verwijderen.
Om de kwetsbaarheden uit te buiten, zou een hacker het slachtoffer enkel moeten overtuigen om een eenvoudige en onschuldige app te installeren (zonder machtiging of toegangsrechten).

Wat is een DSP?
DSP staat voor Digital Signal Processor. Een DSP is gespecialiseerd in het verwerken van real-time signalen, zoals spraak-, video- en omgevingssignalen en deze om te zetten in verwerkbare digitale data. DSP’s zijn ontworpen om wiskundige functies zoals optellen en aftrekken zeer snel uit te voeren met een minimaal energieverbruik. De technologie is onder meer terug te vinden in koptelefoons, smartphones, slimme luidsprekers, studioapparatuur en entertainmentsystemen voor auto’s. Er zit bijvoorbeeld een DSP in de smartphone om MP3-bestanden te decoderen, de bas van de muziek te versterken, de berekeningen uit te voeren voor actieve ruisonderdrukking en de stem te herkennen als iemand zegt: “Hé, Google!” Simpel gezegd zou een DSP omschreven kunnen worden als een complete computer op één kleine chip. Bijna elke moderne smartphone bevat ten minste één zo’n chip.

DSP als nieuwe aanvalsvector
Uit het onderzoek naar de Qualcomm DSP leiden de onderzoekers van Check Point af dat DSP’s een nieuwe en serieuze opportuniteit vormen voor hackers. Deze chips introduceren nieuwe aanvalsoppervlakken en zwakke punten in deze mobiele apparaten. DSP-chips zijn veel kwetsbaarder voor risico’s omdat ze worden beheerd als een ‘zwarte doos’ (vergelijkbaar met de vliegtuigindustrie), waardoor het voor iemand anders dan de fabrikant zeer complex kan zijn om het ontwerp, functionaliteit of code van de DSP-chip te beoordelen.

Verantwoordelijke informatieverstrekking
Onderzoekers van Check Point hebben hun bevindingen – zoals verplicht – aan Qualcomm kenbaar gemaakt. De chipproducent heeft de beveiligingslekken erkend en de relevante leveranciers op de hoogte gebracht door CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 en CVE-2020-11209 (patches) uit te geven.
“Hoewel Qualcomm het probleem heeft opgelost, is het helaas niet het einde van het verhaal”, zegt Yaniv Balmas, hoofd van Cyber Research bij Check Point Software Technologies. “Honderden miljoenen telefoons worden nog aan dit veiligheidsrisico blootgesteld. Je kunt bespioneerd worden. Je kunt al je data verliezen. Ons onderzoek toont hiermee ook het complexe ecosysteem in de mobiele wereld aan. Elke telefoon gaat door een lange supplychain-keten. Hierdoor is het niet onbelangrijk (en eenvoudig) om zulke diep verborgen problemen in mobiele telefoons te vinden, maar het is ook niet onbelangrijk (en eenvoudig) om ze op te lossen. Gelukkig hebben we deze keer de problemen snel kunnen opsporen. Maar we gaan ervan uit dat het maanden of zelfs jaren zal duren om dit volledig op te lossen. Als dergelijke kwetsbaarheden worden gevonden en gebruikt door kwaadwillende hackers, treft dat miljoenen gsm-gebruikers die zich nauwelijks kunnen beschermen voor een zeer lange tijd.”
Het is nu aan de smartphonefabrikanten, zoals Google, Samsung en Xiaomi, om deze patches te integreren in hun volledige aanbod, zowel nieuwe toestellen in productie als toestellen die al verkocht zijn.

Geen verdere technische details
Check Point Research heeft besloten om niet de volledige technische details van deze kwetsbaarheden te publiceren totdat mobiele leveranciers een uitgebreide oplossing hebben voor de mogelijke risico’s die beschreven zijn.
“Onze inschatting is dat het een tijdje zal duren voor alle leveranciers de patches in al hun telefoons zullen hebben geïntegreerd. Daarom vinden we het niet verantwoord om de technische details met iedereen te delen, gezien het grote risico dat dit in de verkeerde handen valt. Voorlopig moet de consument wachten tot de betreffende gsm-fabrikanten ook bug fixes uitvoeren”, vertelt Yaniv Balmas.
Check Point maakt dit nieuws wel bekend om het bewustzijn over deze kwesties te vergroten. Bovendien kregen alle relevante overheidsdiensten en relevante mobiele leveranciers met wie ze hebben samengewerkt om hun toestellen veiliger te maken, een update van Check Point met de volledige details. Check Point Research zet zich in om technologie en producten over de hele wereld veiliger te maken en zal samenwerken met elke securityfabrikant die om een dergelijke samenwerking vraagt. Proactief heeft Check Point aan organisaties die mogelijk te maken hebben met deze risico’s gratis 20 SandBlast Mobile licenties aangeboden voor hun beheer van mobiele apparaten om zich te beschermen tegen eventuele schade in de komende 6 maanden na deze publicatie. iPhone wordt niet beïnvloed door de DSP-kwetsbaarheden die in dit onderzoeksrapport worden beschreven.