Falha crítica pode permitir bloqueio em celulares Android com chipsets UNISOC

Falha crítica pode permitir bloqueio em celulares Android com chipsets UNISOC

Por Dácio Castelo Branco | Editado por Claudio Yuge | 02 de Junho de 2022 às 22h30
Brian Kostiuk/Unsplash

Uma vulnerabilidade crítica foi encontrada no firmware módulo de modem utilizado em chipsets da UNISOC, quarta maior fabricante de chips para smartphones do mundo. A descoberta, feira pela Check Point Research, é preocupante por, caso explorada, permitir o bloqueio de comunicações dos dispositivos Android que utilizam a peça.

Os pesquisadores da Check Point escanearam os manipuladores de mensagens do NAS (Non-Access Stratum, um conjunto de protocolos utilizado para gerenciar e manter estabilidades em conexões sem fio), em um curto período de tempo e encontrou uma vulnerabilidade que pode ser usada para interromper a comunicação de rádio do dispositivo por meio de um pacote malformado. Um atacante ou uma unidade militar pode aproveitar essa brecha para neutralizar as comunicações em um local específico.

O Moto G20 é um dos celulares com hardware da UNISOC que podem ser afetados pela vulnerabilidade. (Imagem: Divulgação/Motorola)

“Analisamos que um atacante pode ter usado uma estação de rádio para enviar um pacote malformado que redefiniria o modem, privando o usuário da possibilidade de comunicação” alerta Slava Makkaveev, pesquisador de engenharia reversa e de segurança Check Point Software. “Um atacante ou uma unidade militar pode aproveitar essa vulnerabilidade para neutralizar as comunicações em um local específico.”

A falha não é limitada somente a um modelo de chipset da UNISOC ou algum telefone específico, podendo ser explorada em qualquer dispositivo que utilize soluções de hardware da empresa, segundo a Check Point — um exemplo de aparelho disponível no Brasil que se encaixa nisso é o Moto G20, com seu processador Spreadtrum T700.

Check Point já alertou UNISOC sobre falha em chipsets

Após descobrir a falha, em maio de 2022, a Check Point Research relatou o problema para a UNISOC, que reconheceu a existência da vulnerabilidade, a registrou como CVE-2022-20210 e atribuiu uma pontuação de 9,4 de 10, o que a coloca como problema crítico.

A boa notícia é que a UNISOC já disponibilizou uma correção para o problema, que será distribuído pelo Google no próximo pacote de atualizações de segurança do Android — lembrando que o problema não é no sistema operacional, mas sim no hardware.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.