CVE-2020-11261 is een nieuwe gevaarlijke kwetsbaarheid op Android-apparaten. De kwetsbaarheid treft Qualcomm-chipsets en hun grafische component in een probleem dat "onjuiste invoervalidatie" wordt genoemd.
CVE-2020-11261: sommige Details
Als met succes geëxploiteerd, de fout kan geheugenbeschadiging veroorzaken wanneer een kwaadwillende app toegang vraagt tot het geheugen van het apparaat. Volgens Google, de kwetsbaarheid is gebruikt bij gerichte aanvallen.
Opgemerkt moet worden dat de kwetsbaarheid van CVE-2020-11261 alleen lokaal kan worden misbruikt, omdat het lokale toegang tot het apparaat vereist. Dit betekent dat een aanval alleen mogelijk is als de bedreigingsacteur fysieke toegang heeft. Een ander scenario voor het starten van een aanval is het gebruik van de zogenaamde watering hole-benadering. Deze strategie vereist dat u de websites kent die het slachtoffer bezoekt om ze te infecteren met malware.
Google heeft geen details verstrekt over de gerichte aanvallen, hoogstwaarschijnlijk om te voorkomen dat andere dreigingsactoren de fout uitbuiten.
Eerdere Qualcomm-kwetsbaarheden met betrekking tot Android
In 2020, een ernstige kwetsbaarheid van Qualcomm die Android treft, werd ook onthuld. Gebeld Achilles, de kwetsbaarheid werd gedefinieerd als een verzameling van over 400 bugs in de embedded Qualcomm-chipsets. De kern van de problemen was een storing in de DSP-processorfuncties, die een onjuiste omgang met de belangrijkste functies van het Android-apparaat veroorzaakte: procesuitvoering, opladen, en multimedia-uitvoering.
Bedreigingsactoren kunnen de Achilles-bug in verschillende distributiecampagnes door rechtstreeks schadelijke bestanden maken, voor het gebruik van payload-dragers en SPAM-e-mailberichten.
In 2019, een ketting van twee beveiligingsbugs (CVE-2015-6639 en CVE-2016-2431) werden ontdekt in de Qualcomm Secure Wereld virtuele processor, die kunnen worden misbruikt om financiële informatie te lekken.