Chipfabrikant Qualcomm waarschuwt voor een actief misbruikte kwetsbaarheid die aanwezig is in een groot aantal chipsets. Het bedrijf heeft firmware-updates uitgebracht om het probleem te verhelpen. Smartphonefabrikanten moeten die update binnen hun eigen patches verwerken en onder hun gebruikers uitrollen. De kwetsbaarheid, aangeduid als CVE-2024-43047, bevindt zich in een onderdeel verantwoordelijk voor 'digital signal processing'.

Een aanvaller die al toegang tot de telefoon heeft kan dit beveiligingslek misbruiken voor het veroorzaken van een use after free. Hierdoor kan een aanvaller onder andere code uitvoeren of zijn rechten verhogen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. Het probleem raakt meer dan zestig chipsets van Qualcomm.

Verdere details over het beveiligingslek of de waargenomen aanvallen zijn niet gegeven. Qualcomm meldt alleen dat misbruik is bevestigd door Google Project Zero en Amnesty International Security Lab, wat doet vermoeden dat het lek is gebruikt bij de verspreiding van spyware. Het CVE-nummer staat nog niet in de beveiligingsbulletins van Google en Samsung vermeld. "Hopelijk wordt de kwetsbaarheid snel op Androidtoestellen verholpen", zo laat de Google-onderzoeker weten die het probleem ontdekte.