Εκατομμύρια smartphones προϋπολογισμού που χρησιμοποιούν chipset UNISOC ενδέχεται να διακοπούν εξ αποστάσεως οι επικοινωνίες τους από χάκερ λόγω μιας κρίσιμης ευπάθειας που ανακαλύφθηκε πρόσφατα από ερευνητές της εταιρείας κυβερνοασφάλειας Check Point.
Τα chipset που κατασκευάζονται από την UNISOC, έναν από τους μεγαλύτερους σχεδιαστές τσιπ κινητών τηλεφώνων της Κίνας, χρησιμοποιούνται ευρέως σε οικονομικά smartphones, ιδιαίτερα σε αυτά που πωλούνται στην Ασία και την Αφρική. Η εταιρεία ονομαζόταν Spreadtrum μέχρι το 2018, όταν μετονομάστηκε σε UNISOC.
Στα τέλη του 2021, η UNISOC είχε μερίδιο 11% στην αγορά επεξεργαστών εφαρμογών smartphone, καταλαμβάνοντας την τέταρτη θέση μετά τις Mediatek, Qualcomm και Apple.
Ερευνητές στο Check Point ανέλυσαν το υλικολογισμικό του μόντεμ UNISOC και ανακάλυψαν ότι επηρεάζεται από μια σοβαρή ευπάθεια που μπορεί να επιτρέψει σε έναν εισβολέα να ξεκινήσει μια απομακρυσμένη επίθεση άρνησης υπηρεσίας (DoS) εναντίον μιας συσκευής χρησιμοποιώντας ένα ειδικά κατασκευασμένο πακέτο.
«Δημιουργήσαμε αντίστροφη μηχανική της εφαρμογής της στοίβας πρωτοκόλλου LTE και ανακαλύψαμε μια ευπάθεια που θα μπορούσε να χρησιμοποιηθεί για την άρνηση υπηρεσιών μόντεμ και τον αποκλεισμό των επικοινωνιών», εξήγησε η εταιρεία σε μια ανάρτηση ιστολογίου.
Προειδοποίησε, «Ένας χάκερ ή μια στρατιωτική μονάδα μπορεί να αξιοποιήσει μια τέτοια ευπάθεια για να εξουδετερώσει τις επικοινωνίες σε μια συγκεκριμένη τοποθεσία».
Το Check Point έχει διαθέσει τις τεχνικές λεπτομέρειες της ευπάθειας, η οποία παρακολουθείται ως CVE-2022-20210.
Πολλές από τις ενημερώσεις Android της Google που κυκλοφόρησαν το περασμένο έτος περιλάμβαναν ενημερώσεις κώδικα για ευπάθειες του UNISOC. Το Check Point λέει ότι η Google σχεδιάζει να αντιμετωπίσει αυτό το τελευταίο ελάττωμα με μια επερχόμενη ενημέρωση Android.
Ο προμηθευτής, ο οποίος έδωσε στην ευπάθεια βαθμολογία CVSS 9,4 (κρίσιμη σοβαρότητα), το διορθώθηκε τον Μάιο, τον ίδιο μήνα που έμαθε για την ύπαρξή του.
Τον Μάρτιο του 2022, η εταιρεία ασφάλειας κινητών Kryptowire ανέφερε ότι τα smartphone με τσιπ UNISOC επηρεάστηκαν από μια κρίσιμη ευπάθεια που σχετίζεται με μια προεγκατεστημένη εφαρμογή (CVE-2022-27250), η οποία θα μπορούσε να επιτρέψει σε μια κακόβουλη εφαρμογή να αναλάβει τον έλεγχο των δεδομένων χρήστη και της λειτουργικότητας της συσκευής .