DSP-gate: Ogroman nedostatak čipa Qualcomm ostavlja 40% pametnih telefona potpuno izloženim
3 min. čitati
Objavljeno na
Podijelite ovaj članak
Poboljšajte ovaj vodič
Pročitajte našu stranicu za otkrivanje kako biste saznali kako možete pomoći MSPoweruseru da održi urednički tim Čitaj više
Qualcomm je potvrdio otkriće velike greške u čipsetima za pametne telefone zbog koje su uređaji potpuno izloženi hakerima.
Otkrio ga je Check Point Security, nedostatak u Snapdragon DSP-u koji se nalazi u većini Android uređaja omogućio bi hakerima da ukradu vaše podatke, instaliraju softver za špijuniranje koji je nemoguće pronaći ili potpuno uništiti vaš telefon.
Check Point je javno otkrio nedostatak na Pwn2Own, otkrivajući da je Qualcommova sigurnost oko petljanja u DSP u Snapdragon uređajima lako zaobiđena, s 400 iskorištavanih nedostataka pronađenih u kodu.
Napominju:
Iz sigurnosnih razloga, cDSP je licenciran za programiranje od strane OEM-a i ograničenog broja dobavljača softvera trećih strana. Kod koji radi na DSP-u potpisuje Qualcomm. Međutim, pokazat ćemo kako Android aplikacija može zaobići Qualcommov potpis i izvršiti privilegirani kod na DSP-u te do kakvih daljnjih sigurnosnih problema to može dovesti.
Hexagon SDK službeni je način za dobavljače da pripreme DSP kod. Otkrili smo ozbiljne greške u SDK-u koje su dovele do stotina skrivenih ranjivosti u kodu u vlasništvu Qualcomma i kodu dobavljača. Istina je da su gotovo sve DSP izvršne biblioteke ugrađene u pametne telefone temeljene na Qualcommu ranjive na napade zbog problema u Hexagon SDK-u. Istaknut ćemo automatski generirane sigurnosne rupe u DSP softveru, a zatim ih iskoristiti.
Nazvan DSP-gate, eksploatacija je omogućila bilo kojoj aplikaciji instaliranoj na ranjivom telefonu (koji su uglavnom Android uređaji) da preuzme DSP i zatim ima slobodnu kontrolu nad uređajem.
Qualcomm je zakrpio problem, ali nažalost zbog fragmentirane prirode Androida, malo je vjerojatno da će popravak doći do većine mobilnih uređaja.
“Iako je Qualcomm riješio problem, to nažalost nije kraj priče”, rekao je Yaniv Balmas, voditelj kibernetičkog istraživanja u Check Pointu, “stotine milijuna telefona izloženo je ovom sigurnosnom riziku.”
“Ako zlonamjerni akteri pronađu i iskoriste takve ranjivosti”, dodao je Balmas, “postojat će deseci milijuna korisnika mobilnih telefona koji se gotovo dugo neće zaštititi.”
Na sreću, Check Point još nije objavio sve detalje o DSP-gateu, što znači da će možda proći neko vrijeme prije nego što ga hakeri počnu iskorištavati u divljini.
Qualcomm je u izjavi rekao:
“Pružanje tehnologija koje podržavaju robusnu sigurnost i privatnost prioritet je za Qualcomm. Što se tiče ranjivosti Qualcomm Compute DSP-a koju je otkrio Check Point, marljivo smo radili kako bismo potvrdili problem i učinili odgovarajuća ublažavanja dostupnima OEM-ima. Nemamo dokaza da se trenutno iskorištava. Potičemo krajnje korisnike da ažuriraju svoje uređaje kako zakrpe postanu dostupne i da instaliraju aplikacije samo s pouzdanih lokacija kao što je Google Play Store.”
preko Forbes
