شرکت کوالکام در یک بهروزرسانی امنیتی مهم، سه آسیبپذیری روز صفر را در پردازندههای گرافیکی Adreno در دستگاههای اندرویدی استفاده میشوند برطرف کرد. این آسیبپذیریها که توسط تیم امنیتی گوگل گزارش شدهاند، در حملات محدود و هدفمند مورد سوءاستفاده قرار گرفتهاند.
آسیبپذیریهای اصلی شامل دو نقص در «اجازهدهی نادرست» است با کدهای CVE-2025-21479 و CVE-2025-21480 با نمره CVSS معادل ۸.۶ دستهگذاری شدهاند. سوءاستفاده از این نقصها در نهایت میتواند منجر به خراب شدن حافظه شود. این اتفاق زمانی رخ میدهد که دستورات غیرمجاز در میکروکد GPU اجرا شود.
آسیبپذیری سوم، CVE-2025-27038 با نمره ۷.۵ مربوط به یک نقص «استفاده پس از آزادسازی» (Use-after-Free) در بخش گرافیک است که هنگام رندر کردن تصاویر با درایور Adreno در مرورگر کروم باعث آسیب در حافظه میشود.
کوالکام در اطلاعیه خود اعلام کرده است که گوگل از گروه تحلیل تهدید خود اطلاعاتی مبنی بر سوءاستفاده محدود و هدفمند از این ضعفها ارائه داده است. بنابراین، وصلههای امنیتی مربوط به این آسیبپذیریها از ماه می ۲۰۲۵ در اختیار تولیدکنندگان دستگاههای اندرویدی قرار گرفته و این شرکت به شدت توصیه میکند بهروزرسانیها هرچه سریعتر روی دستگاههای آسیبپذیر نصب شود.
اگرچه جزئیات دقیقی از نحوه و زمینه بهرهبرداری یا عاملان پشت این حملات منتشر نشده اما پیشتر نمونههایی از ضعفهای مشابه در چیپستهای کوالکام (مانند CVE-2023-33063 و CVE-2023-33107) توسط گروههای جاسوسی تجاری همچون Variston و Cy4Gate به کار گرفته شده بودند.
همچنین در دسامبر سال گذشته، سازمان عفو بینالملل فاش کرد نقص امنیتی دیگری در چیپهای کوالکام (CVE-2024-43047) توسط سازمان اطلاعات امنیت صربستان و پلیس این کشور به منظور دسترسی غیرمجاز به دستگاههای اندرویدی فعالان سیاسی، خبرنگاران و معترضان بهرهبرداری شده است. آنها با استفاده از نرمافزار استخراج داده Cellebrite به دسترسی سطح بالا رسیده و جاسوسافزاری به نام NoviSpy را روی برخی دستگاهها نصب کردهاند.
این رویدادها بار دیگر اهمیت بهروزرسانیهای امنیتی در سیستمعامل اندروید و بهخصوص در سختافزارهای حیاتی مثل GPU را یادآوری میکنند، چرا که این بخشها میتوانند در حملات پیچیده و هدفمند مورد سوءاستفاده قرار گیرند.
توضیحات بیشتر:
Qualcomm Fixes 3 Zero-Days Used in Targeted Android Attacks via Adreno GPU