DSP-Gate: Massiver Qualcomm-Chipfehler lässt 40 % der Smartphones vollständig ungeschützt
3 Minute. lesen
Veröffentlicht am
Teile diesen Artikel
Verbessern Sie diesen Leitfaden
Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter
Qualcomm hat die Entdeckung eines massiven Fehlers in seinen Smartphone-Chipsätzen bestätigt, durch den Handys Hackern vollständig ausgesetzt sind.
Der von Check Point Security entdeckte Fehler im Snapdragon DSP, der in den meisten Android-Handys zu finden ist, würde es Hackern ermöglichen, Ihre Daten zu stehlen, unmöglich zu findende Spionagesoftware zu installieren oder Ihr Handy komplett zu blockieren.
Check Point hat den Fehler öffentlich aufgedeckt Pwn2Own, die enthüllt, dass die Sicherheitsvorkehrungen von Qualcomm in Bezug auf Manipulationen am DSP in Snapdragon-Handys leicht umgangen werden konnten, wobei 400 ausnutzbare Fehler im Code gefunden wurden.
Sie bemerken:
Aus Sicherheitsgründen wird der cDSP für die Programmierung von OEMs und einer begrenzten Anzahl von Software-Drittanbietern lizenziert. Der auf DSP ausgeführte Code ist von Qualcomm signiert. Wir werden jedoch demonstrieren, wie eine Android-Anwendung die Qualcomm-Signatur umgehen und privilegierten Code auf DSP ausführen kann, und zu welchen weiteren Sicherheitsproblemen dies führen kann.
Hexagon SDK ist der offizielle Weg für die Anbieter, DSP-bezogenen Code vorzubereiten. Wir haben schwerwiegende Fehler im SDK entdeckt, die zu Hunderten von versteckten Sicherheitslücken im Qualcomm-eigenen Code und im Code von Anbietern geführt haben. Die Wahrheit ist, dass fast alle ausführbaren DSP-Bibliotheken, die in Qualcomm-basierte Smartphones eingebettet sind, aufgrund von Problemen im Hexagon SDK anfällig für Angriffe sind. Wir werden die automatisch generierten Sicherheitslücken in der DSP-Software hervorheben und sie dann ausnutzen.
Der als DSP-Gate bezeichnete Exploit ermöglichte es jeder App, die auf einem anfälligen Mobilteil (hauptsächlich Android-Geräten) installiert war, den DSP zu übernehmen und dann freie Hand auf dem Gerät zu haben.
Qualcomm hat das Problem gepatcht, aber leider ist es aufgrund der Fragmentierung von Android unwahrscheinlich, dass der Fix die meisten Handys erreicht.
„Obwohl Qualcomm das Problem behoben hat, ist dies leider noch nicht das Ende der Geschichte“, sagte Yaniv Balmas, Leiter der Cyber-Forschung bei Check Point, „Hunderte Millionen Telefone sind diesem Sicherheitsrisiko ausgesetzt.“
„Wenn solche Schwachstellen gefunden und von böswilligen Akteuren ausgenutzt werden“, fügte Balmas hinzu, „werden zig Millionen Handynutzer für sehr lange Zeit fast keine Möglichkeit haben, sich zu schützen.“
Glücklicherweise hat Check Point noch nicht die vollständigen Details von DSP-Gate veröffentlicht, was bedeutet, dass es einige Zeit dauern kann, bis Hacker damit beginnen, es in freier Wildbahn auszunutzen.
In einer Erklärung sagte Qualcomm:
„Die Bereitstellung von Technologien, die robuste Sicherheit und Datenschutz unterstützen, hat für Qualcomm Priorität. In Bezug auf die von Check Point offengelegte Qualcomm Compute DSP-Schwachstelle haben wir sorgfältig daran gearbeitet, das Problem zu validieren und OEMs geeignete Gegenmaßnahmen zur Verfügung zu stellen. Wir haben keine Beweise dafür, dass es derzeit ausgenutzt wird. Wir ermutigen Endbenutzer, ihre Geräte zu aktualisieren, sobald Patches verfügbar sind, und nur Anwendungen von vertrauenswürdigen Orten wie dem Google Play Store zu installieren.“
