Check Point Researchは6月2日(米国時間)、「Check Point Research unveils vulnerability within UNISOC baseband chipset」においてと、中国の半導体メーカーであるUNISOCがAndroidスマートフォン向けに販売しているチップセットに重大な脆弱性が発見されたと伝えた。この脆弱性を悪用されると、悪意のある攻撃者によってスマートフォンの無線通信が妨害される危険性がある。
UNISOCは、2021年末時点で、世界で4番目に大きいスマートフォンチップメーカー(MediaTek、Qualcomm、Appleに続く)であり、世界市場シェアは11%とのこと。
Check Point Researchによれば、この脆弱性はモデムファームウェアのNAS(Non-Access Stratum: 非アクセス層)のメッセージを処理するコンポーネントで発見されたのこと。このコンポーネントにバッファオーバーフローの不具合が存在しており、攻撃者は不正なパケットを送信することでリモートからモデムを停止させてサービス拒否(DoS)状態にしたり、任意のコードを実行したりできる。結果的に、攻撃者は無線通信の妨害を行い、通信を無力化できる可能性があるという。
この脆弱性には識別子CVE-2022-20210が割り当てられており、CVSS v3のベーススコアは9.4で深刻度「Critical(緊急)」に分類されている。脆弱性の詳細はCheck Point Researchによる次のレポートにまとめられている。
Check Point Researchでは、ユーザーに対して、リスクを軽減するためにAndroid OSを最新のバージョンにアップデートすることを推奨している。