DoS-уязвимость в GPS Qualcomm позволяет вызвать зависание устройства

DoS-уязвимость в GPS Qualcomm позволяет вызвать зависание устройства

При помощи MitM-атаки удаленный злоумышленник может подменить файл с данными альманаха и вызвать зависание устройства.

image

Компания Qualcomm устранила уязвимость в компоненте GPS в мобильных процессорах, позволяющую удаленному злоумышленнику вызвать зависание или перезагрузку устройства. Проблема получила идентификатор CVE-2016-5341.

В 2007 году Qualcomm представила технологию gpsOneXtra (с 2013 года известную как IZat XTRA Assistance), позволяющую GPS-приемникам загружать данные альманаха (информацию о положении спутников) с серверов Qualcomm для быстрого поиска и «захвата» сигналов спутников. Данная технология реализована в большинстве чипов и мобильных процессоров Qualcomm. Как обнаружили исследователи из компании Nightwatch Cybersecurity, некоторые реализации используют незащищенные HTTP-соединения для передачи данных альманаха.

В ходе анализа сетевого трафика и исходного кода Android при тестировании одной из моделей Android-смартфонов (Motorola Moto G) оказалось, что сетевые вызовы не защищены протоколом SSL или другими алгоритмами шифрования и аутентификации. Таким образом, злоумышленник может осуществить атаку «человек посередине» и подменить файл, содержащий данные альманаха, и вызвать зависание устройства.

Проблема затрагивает только реализации Android, поскольку они получают файлы с серверов Qualcomm. Apple и Microsoft используют внутренние механизмы для передачи данных. Компания Google уже выпустила патч, устраняющий вышеуказанную уязвимость.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle