Qualcomm to amerykańskie przedsiębiorstwo informatyczne z siedzibą w San Diego. Na początku swojej działalności zajmowało się technikami satelitarnymi, a popularne stało się m.in. dzięki CDMA, technice używanej w telefonach komórkowych i satelitarnych. Powszechnie znanym produktem w portfolio firmy jest program do obsługi poczty elektronicznej Eudora. Przedsiębiorstwo opracowało również technologię wyświetlaczy IMoD.
Obecnie Qualcomm zajmuje się projektowaniem układów scalonych oraz łączy bezprzewodowych. Wprowadziło na rynek mikroprocesory Snapdragon i opracowało technologię szybkiego ładowania QuickCharge. Mikroprocesory Snapdragon wykorzystują w swoich urządzeniach najwięksi producenci telefonów (m.in. Asus, LG, Motorola, Nokia, Samsung, Sony, Xiaomi).
Qualcomm jest jednym z liderów w obszarze technologii bezprzewodowych. W 2020 roku firma wprowadziła na rynek procesory obsługujące standard 5G – technologię mobilną piątej generacji.
Dwa tygodnie temu pojawiła się elektryzująca informacja, iż Qualcomm może przejąć firmę Intel.
Qualcomm opublikował w zeszły poniedziałek ostrzeżenie dotyczące bezpieczeństwa, w którym wymienia do 20 luk znalezionych i załatanych w jego produktach, w tym podatność „dnia zerowego”.
Potencjalna luka zero-day jest śledzona jako CVE-2024-43047, a dostawca twierdzi, iż „istnieją przesłanki od Google Threat Analysis Group, iż CVE-2024-43047 może być przedmiotem ograniczonej, ukierunkowanej eksploatacji”.
Ostrzeżenie Qualcomm opisuje CVE-2024-43047 jako poważny problem związany z usługą DSP.
Seth Jenkins, badacz Google Project Zero, któremu przypisuje się odkrycie luki, napisał na X, iż Amnesty International i Google Threat Analysis Group (TAG) znalazły dowody potencjalnej eksploatacji w praktyce.
„Mamy nadzieję, iż błąd zostanie niedługo załatany na urządzeniach z Androidem” – dodał w poście.
Biuletyn bezpieczeństwa dla systemu Android z października 2024 r. został opublikowany w poniedziałek, ale nie wspomniano w nim o CVE-2024-43047.
Nie udostępniono żadnych informacji na temat ataków, które mogą obejmować użycie CVE-2024-43047. Jednak fakt, iż lukę zgłosili przedstawiciele Google i Amnesty, sugeruje, iż prawdopodobnie została ona wykorzystana przez komercyjnego dostawcę systemu szpiegującego przeciwko urządzeniom z systemem Android.
Według Qualcomm CVE-2024-43047 dotyczy ponad 60 chipsetów, w tym produktów z serii FastConnect, QCA, QCS, Video Collaboration, SA, SD, SG, Snapdragon, SW, SXR, WCD, WCN i WSA.
Luka została zgłoszona firmie Qualcomm pod koniec lipca, a niedawno opracowano poprawkę, ale jej dotarcie do urządzeń użytkowników końcowych zajmie dużo czasu, a wiele systemów, które nie są regularnie aktualizowane, nigdy nie będzie zabezpieczonych.
Nie jest niczym niezwykłym, iż luki w zabezpieczeniach chipsetów Qualcomm są wykorzystywane w atakach. Według danych z katalogu Known Exploited Vulnerabilities (KEV) CISA, jest to ósma wykorzystana luka w zabezpieczeniach Qualcomm odkryta od 2021 r.