UNISOC’un akıllı telefon yonga setinde, hatalı biçimlendirilmiş bir paket aracılığıyla bir akıllı telefonun radyo iletişimini bozmak için potansiyel olarak silahlanabilecek kritik bir güvenlik açığı ortaya çıkarıldı.
İsrailli siber güvenlik şirketi Check Point, “Yama uygulanmadığında, bir bilgisayar korsanı veya askeri bir birim, belirli bir konumdaki iletişimi etkisiz hale getirmek için böyle bir güvenlik açığından yararlanabilir” dedi. bildiri Hacker News ile paylaşıldı. “Güvenlik açığı, Android işletim sisteminin kendisinde değil, modem bellenimindedir.”
Merkezi Şanghay’da bulunan bir yarı iletken şirketi olan UNISOC, Mediatek, Qualcomm ve Apple’dan sonra dünyanın dördüncü en büyük mobil işlemci üreticisi ve 2021’in üçüncü çeyreğinde tüm SoC gönderilerinin %10’unu oluşturuyor. Kontrpuan Araştırması.
Yama uygulanmış soruna CVE-2022-20210 tanımlayıcısı atanmıştır ve CVSS güvenlik açığı puanlama sisteminde önem derecesi açısından 10 üzerinden 9,4 olarak derecelendirilmiştir.
Özetle, UNISOC’un LTE protokol yığını uygulamasının tersine mühendisliğinin ardından keşfedilen güvenlik açığı, aşağıdakileri işleyen bileşendeki bir arabellek taşması güvenlik açığı durumuyla ilgilidir. Erişim Dışı Katman (NAS) modem bellenimindeki mesajlar, hizmet reddine neden olur.
Riski azaltmak için, kullanıcıların Android cihazlarını, Google’ın bir parçası olarak kullanıma sunulduğunda ve kullanıma sunulduğunda mevcut en son yazılıma güncellemeleri önerilir. Android Güvenlik Bülteni Haziran 2022 için.
Check Point’ten Slava Makkaveev, “Bir saldırgan, modemi sıfırlayacak ve kullanıcıyı iletişim olanağından mahrum bırakacak hatalı biçimlendirilmiş bir paket göndermek için bir radyo istasyonunu kullanabilirdi.” Dedi.
Bu, UNISOC yonga setlerinin tarayıcının altına ilk gelişi değil. Mart 2022’de mobil güvenlik firması Kryptowire, kritik bir güvenlik açığını açıkladı (CVE-2022-27250CVSS puanı: 9.8), kötüye kullanılması durumunda kötü niyetli kişilerin kullanıcı verileri ve cihaz işlevselliği üzerinde kontrol sahibi olmasına izin verebilir