Check Point Researchin (CPR) tutkijat ovat havainneet tietoturvahaavoittuvuuden Qualcommin 5G-mobiiliasemamodeemissa (MSM). Jos virhettä käytetään haitallisesti, väärinkäyttäjät voivat asentaa ja piilottaa haitallisia sovelluksia, käyttää tekstiviestejä ja paljon muuta. CPR paljasti haavoittuvuuden Lifewirelle lähetetyssä lehdistötiedotteessa ja huomautti, että se löytyy Qualcommin nykyisistä MSM:istä, mukaan lukien sen 5G-piirisarjoista. Näitä siruja löytyy yleisesti huippuluokan laitteista, kuten Google-, Samsung-, Xiaomi- ja LG-älypuhelimista, ja ne vastaavat kaikesta laitteen mobiiliviestinnästä. Koska Qualcomm-siruja käytetään niin monissa älylaitteissa – Qualcommin MSM:itä voidaan löytää noin 32 prosentissa puhelimista maailmanlaajuisesti vuoteen 2020 mennessä – tämän haavoittuvuuden potentiaalinen ulottuvuus on valtava.
Yksi tämän tietoturvavirheen suurimmista huolenaiheista on pääsy, jonka se voi antaa haitallisille hyökkääjille. Jos haavoittuvuutta hyödynnetään, CPR sanoo, että käyttäjät voivat käyttää MSM:ää itse käyttöjärjestelmästä. Näin hyökkääjä voi piilottaa suuren osan käyttöoikeuksistaan ja suorittamistaan toiminnoista. Sen lisäksi, että se antaa pääsyn tekstiviesteihin, se voi antaa pahantahtoiselle henkilölle pääsyn puhelusi ääneen ja jopa mahdollistaa laitteesi SIM-kortin lukituksen avaamisen. «Mobiilimodeemisiruja pidetään usein kyberhyökkääjien kruununjaloiveinä, erityisesti Qualcommin valmistamia», Yaniv Balmas, Check Point Software Technologiesin kybertutkimuksen johtaja, kirjoitti lehdistötiedotteessa.
«Hyökkäys Qualcommin modeemipiireihin voi vaikuttaa negatiivisesti satoihin miljooniin matkapuhelimiin ympäri maailmaa. Tästä huolimatta tiedetään hyvin vähän siitä, kuinka hauraita nämä sirut todellisuudessa ovat, koska niiden luontainen vaikeus on suunniteltu pääsyn ja tarkastuksen ympärille. Balmas totesi myös uskovansa CPR:n tutkimuksen tekevän valtavan harppauksen modeemikoodin tarkastuksessa, mikä toivottavasti parantaa käyttäjien turvallisuutta tulevaisuudessa. Hyökkäys Qualcommin modeemipiireihin voi vaikuttaa kielteisesti satoihin miljooniin matkapuhelimiin ympäri maailmaa. CPR:n jakaman aikajanan mukaan haavoittuvuus löydettiin alun perin ja ilmoitettiin Qualcommille lokakuussa. Se on tällä hetkellä arkistoitu nimellä CVE-2020-11292 yleisten haavoittuvuuksien ja altistumisten luetteloon. Toistaiseksi tätä lomaketta ei ole vielä päivitetty todellisilla tiedoilla virheestä. CPR sanoi, että Qualcomm on korjannut haavoittuvuuden, mutta yksittäisten toimittajien on jaettava se, mikä voi kestää jonkin aikaa.