DSP-gate: نقص عظیم تراشه کوالکام 40 درصد از تلفن های هوشمند را کاملاً در معرض دید قرار می دهد
3 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
کوالکام کشف یک نقص بزرگ در چیپست گوشی های هوشمند خود را تایید کرده است که گوشی ها را کاملا در معرض هکرها قرار می دهد.
نقص Snapdragon DSP که توسط Check Point Security کشف شد، در اکثر گوشیهای اندرویدی به هکرها اجازه میدهد تا دادههای شما را بدزدند، نرمافزار جاسوسی را غیرممکن نصب کنند یا گوشی شما را کاملا آجر کنند.
چک پوینت به طور عمومی این نقص را آشکار کرد Pwn2Own، نشان می دهد که امنیت کوالکام در مورد دستکاری DSP در گوشی های اسنپدراگون با 400 نقص قابل سوء استفاده در کد به راحتی دور زده شده است.
آنها متذکر می شوند:
به دلایل امنیتی، cDSP برای برنامه نویسی توسط OEM ها و تعداد محدودی از فروشندگان نرم افزار شخص ثالث مجوز دارد. کد در حال اجرا در DSP توسط Qualcomm امضا شده است. با این حال، ما نشان خواهیم داد که چگونه یک برنامه اندرویدی میتواند امضای کوالکام را دور بزند و کدهای ممتاز را در DSP اجرا کند، و این موضوع میتواند منجر به چه مشکلات امنیتی بیشتری شود.
Hexagon SDK راه رسمی برای فروشندگان برای تهیه کدهای مرتبط با DSP است. ما اشکالات جدی را در SDK کشف کردیم که منجر به صدها آسیب پذیری پنهان در کدهای متعلق به کوالکام و فروشندگان شده است. حقیقت این است که تقریباً تمام کتابخانههای اجرایی DSP تعبیهشده در تلفنهای هوشمند مبتنی بر کوالکام به دلیل مشکلاتی در Hexagon SDK در برابر حملات آسیبپذیر هستند. ما میخواهیم حفرههای امنیتی ایجاد شده خودکار در نرمافزار DSP را برجسته کرده و سپس از آنها سوءاستفاده کنیم.
این اکسپلویت که DSP-gate نامیده میشود، به هر برنامهای که روی گوشی آسیبپذیر (که عمدتاً دستگاههای اندرویدی هستند) نصب میشود اجازه میدهد تا DSP را تصاحب کند و سپس دستگاه را آزاد کند.
کوالکام این مشکل را اصلاح کرده است، اما متأسفانه به دلیل ماهیت پراکنده اندروید، بعید است که این مشکل به اکثر گوشیها برسد.
یانیو بالماس، رئیس تحقیقات سایبری در Check Point، گفت: «اگرچه کوالکام این مشکل را برطرف کرده است، متأسفانه این پایان ماجرا نیست، صدها میلیون تلفن در معرض این خطر امنیتی هستند.»
بالماس افزود: «اگر چنین آسیبپذیریهایی پیدا شوند و توسط عوامل مخرب مورد استفاده قرار گیرند، دهها میلیون کاربر تلفن همراه تقریباً هیچ راهی برای محافظت از خود برای مدت طولانی وجود خواهند داشت.»
خوشبختانه، Check Point هنوز جزئیات کامل DSP-gate را منتشر نکرده است، به این معنی که ممکن است مدتی طول بکشد تا هکرها شروع به بهره برداری از آن در طبیعت کنند.
کوالکام در بیانیه ای گفت:
«ارائه فناوریهایی که از امنیت و حریم خصوصی قوی پشتیبانی میکنند، اولویت کوالکام است. با توجه به آسیبپذیری Qualcomm Compute DSP که توسط Check Point فاش شده است، ما سخت کوشیدیم تا این مشکل را تأیید کنیم و اقدامات کاهشی مناسب را در اختیار OEMها قرار دهیم. ما هیچ مدرکی نداریم که در حال حاضر در حال بهره برداری است. ما کاربران نهایی را تشویق میکنیم که با در دسترس شدن وصلهها، دستگاههای خود را بهروزرسانی کنند و برنامهها را فقط از مکانهای مورد اعتماد مانند فروشگاه Google Play نصب کنند.
از طريق فوربس