Perkara ini sangat kritikal kerana 40% daripada telefon pintar yang ada atas bumi ini menggunakan cip tersebut. Menurut Check Point Research, pihak yang menemui kerentanan itu selepas mengkaji kod aturcara pada bahagian Digital Signal Processing (DSP) cip ini.
Sekiranya dieksploitasi oleh pihak yang tak bertanggung jawab, kerentanan ini boleh digunakan untuk:
- mengekstrak apa saja data daripada telefon sasaran tanpa disedari pemilik telefon. Data yang boleh dihimpunkan adala seperti gambar, video, rakaman video, mikrofon, lokasi, dan sebagainya.
- menghentikan operasi telefon sasaran untuk tukarkannya menjadi pemberat kertas sahaja. Ia seperti serangan DDoS untuk laman web.
- Menyuntik malware masuk kedalam telefon dan dibenamkan sedalam-dalamnya tanpa boleh dibuang mahupun dibuang pengguna.
Menggelar kerentanan ini sebagai “Archilles”, pihak Check Point Research tidak menerbitkan butiran terperinci kerentanan itu sebelum memastikan yang pihak pembangun cip dan semua yang terlibat telahpun menemui penyelesaiannya. Setakat ini, mereka cuma menerbitkan kod-kod panggilan untuk mengenal pasti kerentanan iaitu daripada CVE-2020-11201 hinggalah 11209.
DSP adalah bahagian tempat pengeluar telefon boleh memasukkan ciri-ciri tambahan yang tidak ada dalam cip pemproeses secara default. Contohnya, jika pengeluar telefon tidak mahu gunakan teknologi Quick Charge daripada Qualcomm, mereka boleh masukkan teknologi proprietary melalaui DSP contohnya VOOC Oppo.
Disebabkan DSP adalah gerbang masuk kepada pembangun pihak ketiga dan Qualcomm membangunkannya agar senang untuk dikendalikan, penggodam turut melihatnya sebagai titik serangan yang ampuh.
