चेक प्वाइंट रिसर्च (सीपीआर) के शोधकर्ताओं ने क्वालकॉम के 5जी मोबाइल स्टेशन मॉडम (एमएसएम) में सुरक्षा भेद्यता की खोज की है। यदि दुर्भावनापूर्ण रूप से उपयोग किया जाता है, तो दोष संभावित रूप से शोषकों को दुर्भावनापूर्ण एप्लिकेशन इंस्टॉल करने और छिपाने, टेक्स्ट संदेशों तक पहुंच प्राप्त करने, और बहुत कुछ करने की अनुमति दे सकता है।
सीपीआर ने लाइफवायर को भेजी एक प्रेस विज्ञप्ति में भेद्यता का खुलासा किया, यह देखते हुए कि यह क्वालकॉम के वर्तमान एमएसएम में पाया जा सकता है, जिसमें इसके 5 जी चिपसेट भी शामिल हैं। ये चिप्स अक्सर Google, सैमसंग, श्याओमी और एलजी स्मार्टफोन जैसे उच्च-स्तरीय उपकरणों में पाए जाते हैं, और डिवाइस के सभी सेलुलर संचार के लिए जिम्मेदार होते हैं। क्योंकि क्वालकॉम चिप का उपयोग कई स्मार्ट उपकरणों में किया जाता है-क्वॉलकॉम एमएसएम 2020 में दुनिया भर में लगभग 32% फोन में पाया जा सकता है-इस भेद्यता की संभावित पहुंच बहुत अधिक है।
इस सुरक्षा खामी को लेकर सबसे बड़ी चिंताओं में से एक यह पहुंच है कि यह दुर्भावनापूर्ण हमलावरों को दे सकता है। यदि शोषण किया जाता है, तो सीपीआर का कहना है कि भेद्यता उपयोगकर्ताओं को ऑपरेटिंग सिस्टम से एमएसएम तक पहुंच प्राप्त करने की अनुमति दे सकती है। यह हमलावर को उसके पास मौजूद अधिकांश एक्सेस और उसके द्वारा पूरी की जा रही गतिविधियों को छिपाने की अनुमति दे सकता है। टेक्स्ट संदेशों तक पहुंच देने के अलावा, शोषण एक दुर्भावनापूर्ण व्यक्ति को आपके फोन कॉल ऑडियो तक पहुंच प्रदान कर सकता है, और यहां तक कि उन्हें आपके डिवाइस के सिम को अनलॉक करने की अनुमति भी दे सकता है।
चेक प्वाइंट सॉफ्टवेयर टेक्नोलॉजीज में साइबर रिसर्च के प्रमुख यानिव बाल्मास ने प्रेस विज्ञप्ति में लिखा, “सेलुलर मॉडेम चिप्स को अक्सर साइबर हमलावरों के लिए क्राउन ज्वेल्स माना जाता है, विशेष रूप से क्वालकॉम द्वारा निर्मित चिप्स।
“क्वालकॉम मॉडम चिप्स पर हमले से दुनिया भर के करोड़ों मोबाइल फोन नकारात्मक रूप से प्रभावित हो सकते हैं।इसके बावजूद, पहुंच और निरीक्षण के लिए डिज़ाइन की गई सहज कठिनाई के कारण ये चिप्स वास्तव में कितने कमजोर हैं, इस पर बहुत कम जानकारी है।”
बल्मास ने यह भी कहा कि उनका मानना है कि सीपीआर जो शोध कर रहा है, वह मॉडेम कोड के निरीक्षण में एक बड़ी छलांग लगाने की अनुमति देगा, जो उम्मीद है कि भविष्य में बेहतर उपयोगकर्ता सुरक्षा के लिए अनुमति देनी चाहिए।
क्वालकॉम मॉडम चिप्स पर हमले से दुनिया भर के करोड़ों मोबाइल फोन नकारात्मक रूप से प्रभावित हो सकते हैं।
सीपीआर द्वारा साझा की गई टाइमलाइन के अनुसार, भेद्यता मूल रूप से खोजी गई थी और अक्टूबर में क्वालकॉम को इसकी सूचना दी गई थी। यह वर्तमान में CVE-2020-11292 के तहत सामान्य कमजोरियों और एक्सपोजर की सूची में दर्ज किया गया है। अभी के लिए, इस फ़ॉर्म को अभी तक किसी भी दोष के बारे में वास्तविक जानकारी के साथ अपडेट नहीं किया गया है।
सीपीआर ने कहा कि क्वालकॉम ने भेद्यता को ठीक कर दिया है, लेकिन इसे वितरित करने के लिए अलग-अलग विक्रेताओं पर निर्भर है, जिसमें कुछ समय लग सकता है।
