Yhdysvaltain siruvalmistaja Qualcomm on julkaissut huomattavan määrän turvallisuuskorjauksia haavoittuvuuksille sen sirujen ja avoimen lähdekoodin ohjelmistojen sisällä. Tämä siirto on ratkaisevan tärkeä, koska monet Android -älypuhelimet ympäri maailmaa hyödyntävät Qualcomm -siruja, mikä tekee niistä ensisijaisen tavoitteen potentiaalisille kyberhyökkäyksille. Näiden laastarien oikea -aikainen toimitus loppukäyttäjille on kuitenkin kriittinen tekijä.
Qualcomm totesi kesäkuussa 2025 turvallisuusraportissaan yhteensä 18 korjausta, jotka käsittelevät erilaisia haavoittuvuuksia. Näistä kolme on erityisen huolestuttavaa, koska niiden uskotaan olevan aktiivisesti hyödynnetty kohdennetuissa hakkerihyökkäyksissä. Nämä erityiset haavoittuvuudet luokitellaan nollapäivän hyväksikäytöiksi, mikä tarkoittaa, että hyökkääjät hyödynsivät näitä puutteita, ennen kuin kehittäjillä oli käytettävissä laastari.
Googlen uhka-analyysiryhmän (TAG) mukaan nämä kolme nollapäivän haavoittuvuutta vaikuttavat kaikki Adreno-grafiikkaprosessorit (GPU), joka löytyy Qualcomm-siruista. Nämä GPU: t on integroitu laajaan valikoimaan maailmanlaajuisesti käytettyjä älypuhelimia valmistajilta, kuten Samsung, Xiaomi ja OnePlus.
Kaksi Adrenon GPU -mikronodiin vaikuttavista haavoittuvuuksista johtuu vääristä valtuutuksista, mikä voi johtaa muistin korruptioon. Niitä pidetään erittäin vaarallisina, ja niiden CVSS -pistemäärä heijastuu 8,6. Kolmas haavoittuvuus kuvataan GPU -muistissa ”käyttö vapaan jälkeen” -virheenä. Tämän tyyppinen virhe tapahtuu, kun muistia ei puhdisteta asianmukaisesti sen jälkeen, kun sitä ei enää tarvita, mikä mahdollisesti aiheuttaa kaatumisia tai ilmoitetussa esimerkissä muistin korruptiota aiheuttaen grafiikkaa Adreno GPU -ohjaimien avulla Chrome -selaimessa.
Qualcomm tarjosi ennakoivasti laastarit näille kolmelle kriittiselle nollapäivän haavoittuvuudelle kaikille kärsiville valmistajille jo toukokuussa. Tästä huolimatta voi olla viive, ennen kuin älypuhelinten valmistajat integroivat nämä korjaustiedot omiin laiteohjelmistopäivityksiinsä ja julkaisevat ne myöhemmin käyttäjille. Qualcommin raportti kehottaa nimenomaisesti valmistajia ”päivittämään vaikutteiset laitteet mahdollisimman nopeasti”. Käyttäjiä kehotetaan tavoittamaan älypuhelinten valmistajat tiedustelemaan heidän tiettyjen laitteidensa korjaustiedostoa.
Vaikka laitevalmistajat hallitsevat Android-pohjaisia käyttöjärjestelmiään, heillä ei yleensä ole suoraa hallintaa asennetun sirun laiteohjelmistoon. Ne ovat riippuvaisia siitä, että siruvalmistajat, kuten Qualcomm, tarjoavat ensin tarvittavat turvakorjaukset. Vasta näiden laastarien vastaanottamisen jälkeen älypuhelinten valmistajat voivat kehittää ja toimittaa vastaavat päivitykset laitteisiinsa. Tämä riippuvuus siruvalmistajista alkuperäisiin korjaustiedostoihin voi luoda haavoittuvuuden ikkunan, mikä tekee Android -älypuhelimista houkuttelevan tavoitteen hakkereille. Huomattava esimerkki tapahtui vuonna 2021, kun Qualcomm -modeemin turvallisuusvirhe vaikutti satoihin miljooniin laitteisiin, ja tarvittava päivitys kesti useita viikkoja kuukausia, ennen kuin useimmille vaikutteisiin älypuhelimiin.
Source: Qualcomm Fixds käyttää aktiivisesti Adreno GPU -virheitä
