Мир: DoS-уязвимость в GPS Qualcomm позволяет вызвать зависание устройства

1

Компания Qualcomm устранила уязвимость в компоненте GPS в мобильных процессорах, позволяющую удаленному злоумышленнику вызвать зависание или перезагрузку устройства. Проблема получила идентификатор CVE-2016-5341.

В 2007 г. Qualcomm представила технологию gpsOneXtra (с 2013 г. известную как IZat XTRA Assistance), позволяющую GPS-приемникам загружать данные альманаха (информацию о положении спутников) с серверов Qualcomm для быстрого поиска и “захвата” сигналов спутников. Данная технология реализована в большинстве чипов и мобильных процессоров Qualcomm. Как обнаружили исследователи из компании Nightwatch Cybersecurity, некоторые реализации используют незащищенные HTTP-соединения для передачи данных альманаха.


В ходе анализа сетевого трафика и исходного кода Android при тестировании одной из моделей Android-смартфонов (Motorola Moto G) оказалось, что сетевые вызовы не защищены протоколом SSL или другими алгоритмами шифрования и аутентификации. Таким образом, злоумышленник может осуществить атаку “человек посередине” и подменить файл, содержащий данные альманаха, и вызвать зависание устройства. Проблема затрагивает только реализации Android, поскольку они получают файлы с серверов Qualcomm. Apple и Microsoft используют внутренние механизмы для передачи данных. Компания Google уже выпустила патч, устраняющий вышеуказанную уязвимость. (Qualcomm/NovostIT)