Три 0Day — и весь Android в заложниках: Qualcomm под атакой
NewsMakerQualcomm латает дыры — а взлом уже идёт внутри Chrome.
Компания Qualcomm выпустила обновления безопасности для устранения трёх критических уязвимостей нулевого дня в драйверах графического процессора Adreno, используемого во множестве Android-устройств. Все три уязвимости уже активно эксплуатируются в целевых атаках, о чём предупредили специалисты Google Threat Analysis Group. Исправления были предоставлены производителям устройств в мае, с настоятельной рекомендацией немедленно их внедрить.
Две из обнаруженных уязвимостей, CVE-2025-21479 и CVE-2025-21480 , представляют собой ошибки в системе авторизации графического фреймворка. Они позволяют запускать неавторизованные команды в микроноде GPU, что влечёт за собой повреждение памяти. Уязвимости могут быть активированы специально сформированной последовательностью команд, передаваемой в драйвер. Обе проблемы были выявлены ещё в январе сотрудниками команды безопасности Android от Google.
Третья уязвимость , CVE-2025-27038 , относится к классу use-after-free и была обнаружена в марте. Она приводит к повреждению памяти при обработке графики с использованием драйвера Adreno в браузере Chrome. Уязвимость может быть использована для обхода изоляции браузера и выполнения произвольного кода в системе. Отдельное внимание вызывает тот факт, что все три уязвимости уже применяются в реальных атаках, что подтверждено Google TAG.
Qualcomm подчеркнула , что исправления уже переданы OEM-производителям и должны быть как можно скорее внедрены в устройства. Однако в экосистеме Android сроки доставки обновлений пользователям могут быть затянуты из-за длительных цепочек поставок и необходимости прохождения сертификации.
В октябре 2024 года Qualcomm уже сталкивалась с громким инцидентом безопасности: уязвимость CVE-2024-43047 использовалась для взлома смартфонов активистов и журналистов в Сербии. Местное Агентство безопасности (BIA) и полиция с помощью инструментария Cellebrite получали доступ к содержимому устройств, обходя блокировку экрана. Эта же уязвимость позволяла обойти встроенные механизмы защиты Android, установив контроль на системном уровне.
В рамках расследования Google TAG выяснила, что в ряде случаев атаки сопровождались установкой шпионского ПО NoviSpy . Этот вредонос закреплялся на уровне ядра операционной системы с помощью сложной эксплойт-цепочки, что обеспечивало его скрытность и устойчивость к удалению. Инфекция позволяла злоумышленникам контролировать устройства удалённо и скрытно собирать информацию.
Инциденты стали продолжением более ранних кампаний: ещё в 2023 году Qualcomm сообщала об активной эксплуатации трёх других уязвимостей нулевого дня в драйверах GPU и Compute DSP. Все они использовались злоумышленниками до выхода исправлений, что подчёркивает устойчивый интерес к архитектуре чипсетов Qualcomm со стороны хакерских группировок.
На протяжении последних лет компания регулярно закрывала опасные уязвимости , позволявшие посторонним лицам получать доступ к текстовым сообщениям, истории звонков, мультимедийным данным и даже вести прослушку разговоров в реальном времени. Атаки на уровне драйверов особенно опасны, поскольку позволяют обойти стандартные механизмы защиты Android и проникнуть глубоко в системные компоненты.
На фоне учащающихся целевых атак Qualcomm вновь обращает внимание на важность оперативного внедрения обновлений безопасности. При этом защита пользователей напрямую зависит от того, насколько быстро производители устройств и операторы связи распространят эти исправления на массовые устройства.
Компания Qualcomm выпустила обновления безопасности для устранения трёх критических уязвимостей нулевого дня в драйверах графического процессора Adreno, используемого во множестве Android-устройств. Все три уязвимости уже активно эксплуатируются в целевых атаках, о чём предупредили специалисты Google Threat Analysis Group. Исправления были предоставлены производителям устройств в мае, с настоятельной рекомендацией немедленно их внедрить.
Две из обнаруженных уязвимостей, CVE-2025-21479 и CVE-2025-21480 , представляют собой ошибки в системе авторизации графического фреймворка. Они позволяют запускать неавторизованные команды в микроноде GPU, что влечёт за собой повреждение памяти. Уязвимости могут быть активированы специально сформированной последовательностью команд, передаваемой в драйвер. Обе проблемы были выявлены ещё в январе сотрудниками команды безопасности Android от Google.
Третья уязвимость , CVE-2025-27038 , относится к классу use-after-free и была обнаружена в марте. Она приводит к повреждению памяти при обработке графики с использованием драйвера Adreno в браузере Chrome. Уязвимость может быть использована для обхода изоляции браузера и выполнения произвольного кода в системе. Отдельное внимание вызывает тот факт, что все три уязвимости уже применяются в реальных атаках, что подтверждено Google TAG.
Qualcomm подчеркнула , что исправления уже переданы OEM-производителям и должны быть как можно скорее внедрены в устройства. Однако в экосистеме Android сроки доставки обновлений пользователям могут быть затянуты из-за длительных цепочек поставок и необходимости прохождения сертификации.
В октябре 2024 года Qualcomm уже сталкивалась с громким инцидентом безопасности: уязвимость CVE-2024-43047 использовалась для взлома смартфонов активистов и журналистов в Сербии. Местное Агентство безопасности (BIA) и полиция с помощью инструментария Cellebrite получали доступ к содержимому устройств, обходя блокировку экрана. Эта же уязвимость позволяла обойти встроенные механизмы защиты Android, установив контроль на системном уровне.
В рамках расследования Google TAG выяснила, что в ряде случаев атаки сопровождались установкой шпионского ПО NoviSpy . Этот вредонос закреплялся на уровне ядра операционной системы с помощью сложной эксплойт-цепочки, что обеспечивало его скрытность и устойчивость к удалению. Инфекция позволяла злоумышленникам контролировать устройства удалённо и скрытно собирать информацию.
Инциденты стали продолжением более ранних кампаний: ещё в 2023 году Qualcomm сообщала об активной эксплуатации трёх других уязвимостей нулевого дня в драйверах GPU и Compute DSP. Все они использовались злоумышленниками до выхода исправлений, что подчёркивает устойчивый интерес к архитектуре чипсетов Qualcomm со стороны хакерских группировок.
На протяжении последних лет компания регулярно закрывала опасные уязвимости , позволявшие посторонним лицам получать доступ к текстовым сообщениям, истории звонков, мультимедийным данным и даже вести прослушку разговоров в реальном времени. Атаки на уровне драйверов особенно опасны, поскольку позволяют обойти стандартные механизмы защиты Android и проникнуть глубоко в системные компоненты.
На фоне учащающихся целевых атак Qualcomm вновь обращает внимание на важность оперативного внедрения обновлений безопасности. При этом защита пользователей напрямую зависит от того, насколько быстро производители устройств и операторы связи распространят эти исправления на массовые устройства.