Một lỗ hổng bảo mật quan trọng đã được phát hiện trong chipset điện thoại thông minh của UNISOC có khả năng được vũ khí hóa để làm gián đoạn liên lạc vô tuyến của điện thoại thông minh thông qua một gói tin không đúng định dạng.
Công ty an ninh mạng Check Point của Israel cho biết trong một báo cáo được chia sẻ với The Hacker News: “Nếu chưa được vá, một hacker hoặc một đơn vị quân đội có thể tận dụng một lỗ hổng như vậy để vô hiệu hóa liên lạc tại một địa điểm cụ thể”. “Lỗ hổng nằm trong phần sụn của modem, không phải trong chính hệ điều hành Android.”
UNISOC, một công ty bán dẫn có trụ sở tại Thượng Hải, là nhà sản xuất bộ vi xử lý di động lớn thứ tư thế giới sau Mediatek, Qualcomm và Apple, chiếm 10% tổng lượng SoC xuất xưởng trong quý 3 năm 2021, theo Counterpoint Research.
Sự cố hiện đã được vá đã được gán mã nhận dạng CVE-2022-20210 và được xếp hạng 9,4 trên 10 về mức độ nghiêm trọng trên hệ thống chấm điểm lỗ hổng CVSS.
Tóm lại, lỗ hổng bảo mật – được phát hiện sau quá trình thiết kế ngược triển khai ngăn xếp giao thức LTE của UNISOC – liên quan đến một trường hợp lỗ hổng tràn bộ đệm trong thành phần xử lý thông báo Tầng không truy cập (NAS) trong phần sụn modem, dẫn đến việc bị từ chối- dịch vụ.
Để giảm thiểu rủi ro, người dùng nên cập nhật thiết bị Android của họ lên phần mềm mới nhất hiện có và khi phần mềm đó có sẵn như một phần của Bản tin bảo mật Android của Google cho tháng 6 năm 2022.
Slava Makkaveev của Check Point cho biết: “Kẻ tấn công có thể đã sử dụng một đài phát thanh để gửi một gói dữ liệu không đúng định dạng sẽ thiết lập lại modem, làm mất khả năng liên lạc của người dùng”.
.
