Gerbang DSP: Cacat chip Qualcomm yang besar membuat 40% smartphone benar-benar terbuka
3 menit Baca
Ditampilkan di
Bagikan artikel ini
Sempurnakan panduan ini
Baca halaman pengungkapan kami untuk mengetahui bagaimana Anda dapat membantu MSPoweruser mempertahankan tim editorial Baca lebih lanjut
Qualcomm telah mengkonfirmasi penemuan cacat besar pada chipset ponsel cerdas mereka yang membuat handset benar-benar terpapar peretas.
Ditemukan oleh Check Point Security, cacat pada DSP Snapdragon yang ditemukan di sebagian besar handset Android akan memungkinkan peretas mencuri data Anda, menginstal perangkat lunak mata-mata yang tidak mungkin ditemukan, atau benar-benar merusak ponsel Anda.
Check Point secara terbuka mengungkapkan kekurangannya di Pwn2Own, mengungkapkan bahwa keamanan Qualcomm seputar perusakan DSP di handset Snapdragon dengan mudah dilewati, dengan 400 kelemahan yang dapat dieksploitasi ditemukan dalam kode.
Mereka mencatat:
Untuk alasan keamanan, cDSP dilisensikan untuk pemrograman oleh OEM dan vendor perangkat lunak pihak ketiga dalam jumlah terbatas. Kode yang berjalan di DSP ditandatangani oleh Qualcomm. Namun, kami akan mendemonstrasikan bagaimana aplikasi Android dapat melewati tanda tangan Qualcomm dan mengeksekusi kode istimewa pada DSP, dan masalah keamanan apa yang dapat menyebabkan hal ini.
Hexagon SDK adalah cara resmi bagi vendor untuk menyiapkan kode terkait DSP. Kami menemukan bug serius di SDK yang menyebabkan ratusan kerentanan tersembunyi dalam kode milik Qualcomm dan vendor. Yang benar adalah bahwa hampir semua pustaka yang dapat dieksekusi DSP yang tertanam di smartphone berbasis Qualcomm rentan terhadap serangan karena masalah di Hexagon SDK. Kami akan menyoroti lubang keamanan yang dibuat secara otomatis di perangkat lunak DSP dan kemudian mengeksploitasinya.
Dijuluki gerbang DSP, eksploitasi memungkinkan aplikasi apa pun yang diinstal pada handset yang rentan (yang sebagian besar perangkat Android) untuk mengambil alih DSP dan kemudian memiliki kendali bebas pada perangkat.
Qualcomm telah menambal masalah ini, tetapi sayangnya karena sifat Android yang terfragmentasi, sepertinya perbaikan tidak akan menjangkau sebagian besar handset.
“Meskipun Qualcomm telah memperbaiki masalah ini, sayangnya ini bukan akhir dari cerita,” Yaniv Balmas, kepala penelitian siber di Check Point, mengatakan, “ratusan juta ponsel terkena risiko keamanan ini.”
“Jika kerentanan seperti itu ditemukan dan digunakan oleh aktor jahat,” tambah Balmas, “akan ada puluhan juta pengguna ponsel dengan hampir tidak ada cara untuk melindungi diri mereka sendiri untuk waktu yang sangat lama.”
Untungnya, Check Point belum mempublikasikan detail lengkap gerbang DSP, yang berarti mungkin ada beberapa waktu sebelum peretas mulai mengeksploitasinya di alam liar.
Dalam sebuah pernyataan Qualcomm mengatakan:
“Menyediakan teknologi yang mendukung keamanan dan privasi yang kuat adalah prioritas Qualcomm. Mengenai kerentanan Qualcomm Compute DSP yang diungkapkan oleh Check Point, kami bekerja dengan rajin untuk memvalidasi masalah dan membuat mitigasi yang sesuai tersedia untuk OEM. Kami tidak memiliki bukti saat ini sedang dieksploitasi. Kami mendorong pengguna akhir untuk memperbarui perangkat mereka saat tambalan tersedia dan hanya menginstal aplikasi dari lokasi tepercaya seperti Google Play Store.”
melalui Forbes
