QuadRooter: vulnerabilidad en móviles Qualcomm

El fabricante de chips para smartphones y chipsets Qualcomm, y proveedor de Android, vuelve a estar en el candelero. Un grupo de investigadores acaba de publicar en Def Con un nuevo error, esta vez en sus drives, que permite a los atacantes tomar el control remoto de los dispositivos sin que el usuario se percate.

Adam Donenfeld, investigador Senior de seguridad de Check Point, presentó QuadRooter [Presentación] durante la conferencia de hacking Def Con 24, celebrada en las Vegas del 4 al 7 de agosto.

El error podría afectar a 900 millones de dispositivos con el sistema operativo de Google, tanto smartphones como tablets. Todos ellos tiene instalados chipsets de Qualcomm, que presentan ciertas vulnerabilidades en los drives, que son aprovechadas por los hacker para acceder al terminal y tomar posesión de él como root.

Cada una de las cuatro vulnerabilidades afecta a un módulo diferente, con impacto en todo el sistema Android del dispositivo:

• IPC Router (comunicación entre procesos)
  El módulo ipc_router proporciona comunicación entre procesos para varios componentes Qualcomm, procesos en modo usuario y controladores de hardware.
• Ashmem (Android Shared Memory)
  Es un driver que facilita el uso compartido de memoria entre procesos. Es el subsistema de asignación de memoria propietaria de Android que permite a los procesos compartir búfers de memoria de forma eficiente. Los dispositivos Android con chipsets Qualcomm usan un sistema ashmem modificado,
• kgsl (kernel graphics support layer) y kgsl_sync (kernel graphics support layer sync)
  El componente GPU de Qualcomm kgsl es un controlador del núcleo que genera los gráficos mediante la comunicación con binarios en modo usuario. Aunque este controlador incluye muchos módulos, kgsl_sync es el responsable de la sincronización entre la CPU y las aplicaciones

Una vez los cibercriminales han infectado el dispositivo, se hacen dueños de él, con acceso ilimitado a datos sensibles, tanto personales como corporativos, permisos para realizar keylogging (intercepta todo lo que se marque en el teclado), seguimiento por GPS, instalar cualquier tipo de software, así como para grabar audio y vídeo.

Algunos de los modelos que estarían previsiblemente infectados serían:

• Samsung Galaxy S7 y S7 Edge
• Sony Xperia Z Ultra
• Google Nexus 5X, 6 y 6P
• HTC One M9 y HTC 10
• LG G4, G5 y V10
• Motorola Moto X
• OnePlus One, 2 y 3
• BlackBerry Priv
• Blackphone 1 y 2.

Para saber si nuestro dispositivo presenta esta vulnerabilidad, han lanzado la aplicación gratuita Quadrooter Scanner en Google Play, que realiza un escaneo de nuestro dispositivo.

Recordemos que Qualcomm Snapdragon está extendido en el mercado de chips para smartphones y es el mayor fabricante de chipsets LTE del mundo. Ocupa el 65% del mercado de modems LTE de banda base para Android y uno de sus principales clientes es Samsung.

Actualización: Google ha confirmado que Verify App, el antivirus oficial de Google y presente desde Android 4.2, puede bloquear el exploit, por lo que en realidad no se podría afectar a la cantidad de dispositivos que originalmente mencionó CheckPoint.

Actualización 07/09/2016: Google lanzó la actualización.

Fuente: TicBeat | ZDBNet.com | Hispasec

Suscríbete a nuestro Boletín