UNISOC’un akıllı telefon yonga setinde, hatalı biçimlendirilmiş bir paket aracılığıyla bir akıllı telefonun radyo iletişimini bozmak için potansiyel olarak silahlanabilecek kritik bir güvenlik açığı ortaya çıkarıldı.
UNISOC işlemci üzerinde çalışan cihazlar, herhangi bir kimlik doğrulama protokolü olmayan önceden yüklenmiş bir uygulama ile birlikte geldiğinden, kötü niyetli kişilerin veri çalmasına izin vererek yardımcı olabilir.
Özetle, UNISOC’un LTE protokol yığını uygulamasının tersine mühendisliğinin ardından keşfedilen güvenlik açığı, modem bellenimindeki Erişim Dışı Katman (NAS) mesajlarını işleyen bileşendeki bir arabellek taşması güvenlik açığı durumuyla ilgilidir ve bu da reddedilmeyle sonuçlanır.
Okunması Gereken Güvenlik Kapsamı
UNISOC modem, Afrika ve Asya’da popülerdir ve hücresel iletişimden sorumludur. Şirket bir blog yazısında, CPR, UNISOC cihazlarına uzaktan saldırmanın bir yolunu bulmak için UNISOC temel bandının bir analizini yaparken güvenlik açığını buldu. Şirkete göre, CPR, güvenlik kusurlarının incelenmesi için LTE protokol yığınının uygulanmasında tersine mühendislik yaptı.
UNISOC, MediaTek ve Qualcomm, CPR’ye göre Android cihazlar için en iyi üç çip üreticisidir. Son üç yılda CPR, Qualcomm’un TrustZone, DSP ve radyo modem işlemcilerinin yanı sıra MediaTek’in TrustZone DSP’sini araştırdı.
Bir CPR sözcüsü Çarşamba günü yaptığı açıklamada, UNISOC uzun süredir piyasada olmasına rağmen, Android cep telefonlarında kullanılan çip ürün yazılımının kapsamlı bir şekilde incelenmediğini söyledi.
Riski azaltmak için, kullanıcıların Android cihazlarını, Google‘ın Haziran 2022 Android Güvenlik Bülteni’nin bir parçası olarak ve kullanıma sunulduğunda mevcut en son yazılıma güncellemeleri önerilir.