क्वालकॉम चिप खामियों को पुन: पेश करता है!

सुरक्षा शोधकर्ताओं के अनुसार, एक नई क्वालकॉम चिप भेद्यता दुनिया भर में 30% एंड्रॉइड फोन को प्रभावित कर सकती है।
5G मॉडेम डेटा सेवा में एक भेद्यता मोबाइल हैकर्स को फोन के मॉडेम में दुर्भावनापूर्ण कोड डालने, कोड निष्पादित करने, मोबाइल उपयोगकर्ताओं के कॉल रिकॉर्ड और टेक्स्ट संदेशों तक पहुंचने और कॉल पर छिपकर बातें करने की क्षमता प्राप्त करके एंड्रॉइड उपयोगकर्ताओं पर दूरस्थ रूप से हमला करने की अनुमति दे सकती है।
चेक प्वाइंट रिसर्च के अनुसार, क्वालकॉम के मोबाइल स्टेशन मॉडेम (MSM) इंटरफेस में भेद्यता (CVE-2020-11292) मौजूद है, जिसे QMI कहा जाता है।MSM क्वालकॉम द्वारा डिज़ाइन किया गया एक सिस्टम ऑन चिप (SoC) है, और QMI मॉडेम और अन्य परिधीय उप-प्रणालियों में सॉफ़्टवेयर घटकों के बीच संचार के लिए एक मालिकाना प्रोटोकॉल है।
इस भेद्यता का प्रभाव दूरगामी हो सकता है: MSM का उपयोग मोबाइल उपकरणों द्वारा 2G युग में मोबाइल इंटरनेट से पहले किया गया है।चेक प्वाइंट डेटा के अनुसार, QMI का उपयोग दुनिया भर में लगभग 30% मोबाइल फोन में किया जाता है, जिसमें Google Pixel, LG मोबाइल फोन, OnePlus मोबाइल फोन, सैमसंग की फ्लैगशिप गैलेक्सी सीरीज और Xiaomi मोबाइल फोन शामिल हैं।
एक चेक प्वाइंट के प्रवक्ता ने विदेशी मीडिया थ्रेटपोस्ट को बताया कि संक्षेप में, हमलावर इस भेद्यता का उपयोग दुर्भावनापूर्ण या ट्रोजनाइज्ड एंड्रॉइड एप्लिकेशन के माध्यम से मोबाइल उपकरणों पर दूरस्थ रूप से हमला करने के लिए कर सकते हैं।उन्होंने कहा: "यह मानते हुए कि मोबाइल फोन पर एक दुर्भावनापूर्ण एप्लिकेशन चल रहा है, यह इस भेद्यता का उपयोग खुद को मॉडेम चिप में 'छिपाने' के लिए कर सकता है, जिससे यह मोबाइल फोन पर सभी मौजूदा सुरक्षा उपायों के लिए अदृश्य हो जाता है।"
प्रवक्ता ने कहा कि चेकपॉइंट ने भेद्यता के सभी तकनीकी विवरणों को साझा नहीं करने का फैसला किया, ताकि हैकर्स को शोषण की योजना बनाने के लिए रोडमैप प्रदान न किया जा सके।हालांकि, उन्होंने बताया: "मूल रूप से, हमने मोबाइल फोन से ही चिप पर 'हमला' करने की कोशिश की, न कि ऑपरेटर से। हमें वहां कुछ दिलचस्प कमजोरियां मिलीं, जिसके कारण रिमोट कोड निष्पादन हुआ।"
सौभाग्य से, क्वालकॉम ने एक फिक्स जारी किया है, लेकिन पैच का रोलआउट धीमा होगा।
"क्वालकॉम ने कहा कि उसने सभी एंड्रॉइड विक्रेताओं को सूचित कर दिया है, और हमने उनमें से कुछ से खुद बात की है," प्रवक्ता ने थ्रेटपोस्ट को बताया।"हम नहीं जानते कि इसे किसने पैच किया है या नहीं। हमारे अनुभव के आधार पर, इन सुधारों को लागू करने में समय लगेगा, इसलिए कई फोन अभी भी खतरों की चपेट में आ सकते हैं।"
दरअसल, क्वालकॉम के चिप्स में पहले भी खामियां थीं।उदाहरण के लिए, चेक प्वाइंट ने पिछले साल DEFCON में क्वालकॉम के स्नैपड्रैगन मोबाइल चिपसेट में छह गंभीर खामियों का खुलासा किया।उन्होंने उपयोग में आने वाले 40% एंड्रॉइड फोन को प्रभावित किया और फोन को सेवा से वंचित करने और अनुमति बढ़ाने के हमलों को उजागर किया।(आईटी हाउस)