Luki w Adreno wykorzystywane w atakach
Qualcomm, gracz na rynku mobilnych chipsetów, zmierzył się z poważnym problemem bezpieczeństwa dotyczącym układów graficznych Adreno. Firma potwierdziła, że trzy nieznane dotąd luki zero-day były aktywnie wykorzystywane przez cyberprzestępców w ramach ukierunkowanych ataków. Choć nie podano oficjalnie konkretnych modeli urządzeń narażonych na zagrożenie, wiadomo, że problem dotyczy szerokiego wachlarza chipów wykorzystywanych w popularnych smartfonach z systemem Android. Dwie z tych luk – oznaczone jako CVE-2025-21479 i CVE-2025-21480 – zostały odkryte już pod koniec stycznia przez zespół Google Android Security. Trzecia, CVE-2025-27038, trafiła do Qualcomm w marcu. Wszystkie trzy odnalezione błędy wiązały się z błędami w autoryzacji lub niewłaściwym zarządzaniu pamięcią w sterowniku graficznym. W praktyce pozwalało to na wykonanie nieautoryzowanych operacji, prowadząc do uszkodzenia pamięci systemu. Jeden z exploitów dotyczył przetwarzania grafiki w przeglądarce Chrome, co pokazuje, że atak mógł być przeprowadzony nawet przez zwykłe odwiedzenie spreparowanej strony internetowej. Google Threat Analysis Group wykrył, że luki te były wykorzystywane w ograniczonym zakresie, głównie w ramach ukierunkowanych ataków na wybrane urządzenia. Qualcomm nie pozostał obojętny – jeszcze w maju przesłał producentom OEM stosowne łatki, rekomendując ich natychmiastowe wdrożenie. To, czy aktualizacje faktycznie trafią do użytkowników końcowych, zależy już jednak od poszczególnych producentów smartfonów.
Qualcomm pod presją bezpieczeństwa
Trzy ostatnie luki nie są odosobnionym przypadkiem. Qualcomm od lat zmaga się z problemem bezpieczeństwa sterowników i chipsetów wykorzystywanych w miliardach urządzeń. W październiku 2024 roku głośno było o luce CVE-2024-43047, która została wykorzystana przez serbskie służby w celu odblokowania urządzeń należących do dziennikarzy i aktywistów. Wtedy użyto narzędzi ekstrakcyjnych Cellebrite, a sama podatność umożliwiała obchodzenie zabezpieczeń urządzeń z Androidem. Google TAG odkrył przy tym, że w wielu przypadkach na tych samych urządzeniach działało również zaawansowane oprogramowanie szpiegujące NoviSpy. Oprogramowanie to korzystało z całego łańcucha exploitów, pozwalając na zagnieżdżenie się w systemie na poziomie jądra i pełną inwigilację użytkownika. Zaledwie rok wcześniej Qualcomm również ostrzegał przed kolejnym zestawem luk typu zero-day, które narażały użytkowników na utratę dostępu do wiadomości, plików, historii połączeń i rozmów na żywo. I chociaż firma konsekwentnie reaguje na nowe zagrożenia, tempo wykrywania kolejnych podatności nie słabnie.
W maju tego roku Qualcomm załatał też lukę CVE-2024-53026, która dotyczyła komponentu Data Network Stack & Connectivity. Tam problemem był nadmierny odczyt bufora podczas połączeń VoLTE lub VoWiFi IMS, co otwierało możliwość nieautoryzowanego dostępu do zastrzeżonych danych przy użyciu złośliwych pakietów RTCP. Dla użytkowników smartfonów kluczowe staje się pytanie, czy ich urządzenia otrzymają odpowiednie aktualizacje. Qualcomm swoje zadanie wykonał, publikując łatki i instruując partnerów OEM, ale niestety – jak pokazuje praktyka rynku – wdrożenie aktualizacji przez producentów bywa opóźnione lub wręcz pomijane w przypadku starszych modeli.
