שער DSP: פגם מסיבי בשבב קוואלקום מותיר 40% מהסמארטפונים חשופים לחלוטין

עמוד הבית » סמרטפון

סמל זמן קריאה 3 דקות לקרוא

סמל לוח השנה פורסם ב

by סורור דיווידס 

פורסם ב

שתף את המאמר הזה

קוראים עוזרים לתמוך ב-MSpoweruser. אנו עשויים לקבל עמלה אם תקנה דרך הקישורים שלנו. סמל טיפים

קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד

קוואלקום אישרה גילוי של פגם מסיבי בערכות השבבים של הסמארטפונים שלהם, אשר מותיר את המכשירים חשופים לחלוטין להאקרים.

התגלתה על ידי Check Point Security, הפגם ב- Snapdragon DSP שנמצא ברוב מכשירי האנדרואיד יאפשר להאקרים לגנוב את הנתונים שלך, להתקין תוכנת ריגול בלתי אפשרית או לחסל את המכשיר שלך לחלוטין.

צ'ק פוינט חשפה בפומבי את הפגם ב Pwn2Own, חושף כי האבטחה של קוואלקום סביב התעסקות ב-DSP במכשירי Snapdragon נעקפה בקלות, עם 400 פגמים שניתנים לניצול שנמצאו בקוד.

הם מציינים:

מטעמי אבטחה, ה-cDSP מורשה לתכנות על ידי יצרני OEM ועל ידי מספר מוגבל של ספקי תוכנה של צד שלישי. הקוד שפועל ב-DSP חתום על ידי קוואלקום. עם זאת, נדגים כיצד אפליקציית אנדרואיד יכולה לעקוף את החתימה של קוואלקום ולהפעיל קוד מיוחס ב-DSP, ולאילו בעיות אבטחה נוספות זה יכול להוביל.

Hexagon SDK היא הדרך הרשמית של הספקים להכין קוד קשור ל-DSP. גילינו באגים רציניים ב-SDK שהובילו למאות נקודות תורפה נסתרות בקוד בבעלות קוואלקום ובקוד של ספקים. האמת היא שכמעט כל ספריות ההפעלה של DSP המוטמעות בסמארטפונים מבוססי קוואלקום חשופים להתקפות עקב בעיות ב-Hexagon SDK. אנו הולכים להדגיש את חורי האבטחה שנוצרו אוטומטית בתוכנת DSP ולאחר מכן לנצל אותם.

הניצול, שזכה לכינוי DSP-gate, אפשר לכל אפליקציה המותקנת במכשיר פגיע (שהם בעיקר מכשירי אנדרואיד) להשתלט על ה-DSP ולאחר מכן לקבל שליטה חופשית במכשיר.

קוואלקום תיקנה את הבעיה, אך למרבה הצער בשל האופי המפוצל של אנדרואיד, לא סביר שהתיקון יגיע לרוב המכשירים.

"למרות שקוואלקום תיקנה את הבעיה, זה למרבה הצער לא סוף הסיפור", אמר יניב בלמס, ראש חקר הסייבר בצ'ק פוינט, "מאות מיליוני טלפונים חשופים לסיכון האבטחה הזה".

"אם נקודות תורפה כאלה יימצאו וישתמשו על ידי שחקנים זדוניים", הוסיף בלמס, "יהיו עשרות מיליוני משתמשי טלפון סלולרי כמעט שאין להם דרך להגן על עצמם במשך זמן רב מאוד".

למרבה המזל, צ'ק פוינט עדיין לא פרסמה את הפרטים המלאים של DSP-gate, כלומר עשוי לעבור זמן עד שהאקרים יתחילו לנצל אותו בטבע.

בהצהרה קוואלקום אמרה:

"אספקת טכנולוגיות התומכות באבטחה ובפרטיות חזקים היא בראש סדר העדיפויות של קוואלקום. לגבי הפגיעות של Qualcomm Compute DSP שנחשפה על ידי צ'ק פוינט, עבדנו במרץ כדי לאמת את הבעיה ולהנגיש את ההקלות המתאימות ליצרני OEM. אין לנו ראיות שהוא מנוצל כרגע. אנו מעודדים את משתמשי הקצה לעדכן את המכשירים שלהם כאשר התיקונים הופכים לזמינים ולהתקין רק אפליקציות ממיקומים מהימנים כמו חנות Google Play."

באמצעות פורבס

עוד על הנושאים: dsp-gate, Qualcomm

סורור דיווידס

סורור דיווידס מגן

מומחה לסמארטפונים

Surur Davids הוא המייסד של WMPoweruser שלימים הפך ל-MSPoweruser.com. הוא מומחה לסמארטפונים עם ניסיון של למעלה מעשור.

השאירו תגובה

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *