Уязвимости позволяли скомпрометировать модем и ядро Android через WLAN-интерфейсы систем на кристале от Qualcomm.
С выпуском последнего обновления для Android были исправлены три критические уязвимости под общим названием QualPwn (CVE-2019-10539, CVE-2019-10540 и CVE-2019-10538).
Эксплуатация первой уязвимости позволяла злоумышленнику с помощью специально сформированного файла скомпрометировать беспроводную локальную сеть и модем через WLAN-интерфейсы систем на кристале от Qualcomm, а второй — осуществить компрометацию ядра таким же образом. Третья уязвимость получила меньшую оценку по шкале CVSS 3.0, но также позволяет скомпрометировать ядро.
Исследователи Tencent протестировали атаки QualPwn на устройствах Google Pixel 2 и Pixel 3, то есть уязвимости затрагивают чипсеты Qualcomm Snapdragon 835 и Snapdragon 845.
Эксперты Tencent представят полноценный доклад о найденных уязвимостях QualPwn на конференциях Black Hat и DEFCON, которые состоятся на этой и следующей неделе.
Сбалансированная диета для серого вещества