DSP-gate: Masivní chyba čipu Qualcomm ponechává 40 % smartphonů zcela odhalených
3 min. číst
Publikované dne
Sdílejte tento článek
Vylepšete tuto příručku
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Qualcomm potvrdil objev masivní chyby v jejich čipových sadách smartphonů, která nechává telefony zcela vystaveny hackerům.
Chyba v Snapdragon DSP nalezená ve většině telefonů Android, objevená Check Point Security, by umožnila hackerům ukrást vaše data, instalovat nemožné, aby našli špionážní software, nebo úplně zlikvidovat váš telefon.
Check Point veřejně odhalil chybu na PWN2OWN, odhalující, že zabezpečení společnosti Qualcomm týkající se manipulace s DSP v mobilních telefonech Snapdragon bylo snadno obejít a v kódu bylo nalezeno 400 zneužitelných chyb.
Berou na vědomí:
Z bezpečnostních důvodů je cDSP licencován pro programování výrobci OEM a omezeným počtem dodavatelů softwaru třetích stran. Kód běžící na DSP je podepsán společností Qualcomm. Ukážeme si však, jak může aplikace pro Android obejít podpis Qualcommu a spustit privilegovaný kód na DSP a k jakým dalším bezpečnostním problémům to může vést.
Hexagon SDK je oficiální způsob, jak mohou dodavatelé připravit kód související s DSP. Zjistili jsme vážné chyby v SDK, které vedly ke stovkám skrytých zranitelností v kódu vlastněném Qualcommem a v kódu výrobců. Pravdou je, že téměř všechny spustitelné knihovny DSP vestavěné do smartphonů založených na Qualcommu jsou zranitelné vůči útokům kvůli problémům v Hexagon SDK. Zdůrazníme automaticky generované bezpečnostní díry v softwaru DSP a poté je využijeme.
Tento exploit, nazývaný DSP-gate, umožnil jakékoli aplikaci nainstalované na zranitelném telefonu (což jsou hlavně zařízení Android) převzít DSP a poté mít na zařízení volnou ruku.
Qualcomm problém opravil, ale bohužel kvůli fragmentované povaze Androidu je nepravděpodobné, že se oprava dostane do většiny mobilních telefonů.
"Ačkoli Qualcomm problém vyřešil, není to bohužel konec příběhu," řekl Yaniv Balmas, vedoucí kybernetického výzkumu v Check Point, "tomuto bezpečnostnímu riziku jsou vystaveny stovky milionů telefonů."
"Pokud takové zranitelnosti najdou a použijí zlomyslní aktéři," dodal Balmas, "budou desítky milionů uživatelů mobilních telefonů, kteří nebudou mít téměř žádný způsob, jak se ochránit po velmi dlouhou dobu."
Naštěstí Check Point ještě nezveřejnil úplné podrobnosti o DSP-gate, což znamená, že může chvíli trvat, než ji hackeři začnou využívat ve volné přírodě.
V prohlášení Qualcomm uvedl:
„Poskytování technologií, které podporují robustní zabezpečení a soukromí, je pro Qualcomm prioritou. Pokud jde o zranitelnost Qualcomm Compute DSP odhalenou společností Check Point, pilně jsme pracovali na ověření problému a zpřístupnění vhodných zmírnění pro výrobce OEM. Nemáme žádné důkazy, že je v současnosti zneužíván. Doporučujeme koncovým uživatelům, aby aktualizovali svá zařízení, jakmile budou dostupné opravy, a instalovali aplikace pouze z důvěryhodných míst, jako je Obchod Google Play.“
přes Forbes
