У понеділок гігантський виробник мікросхем Qualcomm випустив патчі, які виправляють низку вразливостей у десятках мікросхем, включаючи три нульового дня, які, за словами компанії, можуть бути використані в рамках хакерських кампаній.
Qualcomm посилається на Групу аналізу загроз Google (Threat Analysis Group, або TAG), яка розслідує кібератаки, що підтримуються урядом, і заявляє, що ці три недоліки “можуть бути використані в обмеженій, цілеспрямованій експлуатації”.
Згідно з бюлетенем компанії, команда Google з безпеки Android повідомила Qualcomm про три нульові дні (CVE-2025-21479, CVE-2025-21480 і CVE-2025-27038) у лютому. Нульові дні – це вразливості безпеки, про які не знають виробники програмного чи апаратного забезпечення на момент їх виявлення, що робить їх надзвичайно цінними для кіберзлочинців та урядових хакерів.
Через відкритий вихідний код та розподілену природу Android, виробники пристроїв тепер повинні застосовувати патчі, надані Qualcomm, а це означає, що деякі пристрої можуть залишатися вразливими ще кілька тижнів, незважаючи на те, що патчі вже випущені.
У бюлетені Qualcomm повідомила, що патчі “були надані [виробникам пристроїв] у травні разом з наполегливою рекомендацією встановити оновлення на уражених пристроях якомога швидше”.
Представник Google Ед Фернандес (Ed Fernandez) повідомив TechCrunch, що на пристрої Pixel компанії не впливають ці вразливості Qualcomm.
Кімберлі Самра, представник TAG Google, не відразу надала більше інформації про ці вразливості та обставини, за яких TAG їх знайшла.
Qualcomm визнала виправлення. “Ми закликаємо кінцевих користувачів застосовувати оновлення безпеки, коли вони стають доступними від виробників пристроїв”, – сказав представник компанії Дейв Шефчик (Dave Schefcik).
Чіпсети, встановлені в мобільних пристроях, є частою мішенню для хакерів і розробників експлойтів нульового дня, оскільки чіпи, як правило, мають широкий доступ до решти операційної системи, а це означає, що хакери можуть переходити від них до інших частин пристрою, які можуть містити конфіденційні дані.
За останні кілька місяців були задокументовані випадки використання експлойтів проти чіпсетів Qualcomm. Минулого року Amnesty International виявила нульовий день Qualcomm, який використовувався сербською владою, ймовірно, за допомогою програми для розблокування телефонів Cellebrite.
