DSPゲート：Qualcommの大規模なチップの欠陥により、スマートフォンの40％が完全に露出したままになっています

クアルコムは、スマートフォンのチップセットに大きな欠陥があり、携帯電話がハッカーに完全にさらされていることを確認しました。

Check PointSecurityによって発見されたSnapdragonDSPの欠陥は、ほとんどのAndroidハンドセットに見られ、ハッカーがデータを盗んだり、スパイソフトウェアを見つけることが不可能な状態でインストールしたり、ハンドセットを完全にブリックしたりする可能性があります。

チェック・ポイントは、で欠陥を公に明らかにしました Pwn2Own、SnapdragonハンドセットのDSPの改ざんに関するQualcommのセキュリティは簡単に回避され、コードに400の悪用可能な欠陥が見つかったことを明らかにしました。

彼らは注意します：

セキュリティ上の理由から、cDSPは、OEMおよび限られた数のサードパーティソフトウェアベンダーによってプログラミング用にライセンスされています。 DSPで実行されているコードは、Qualcommによって署名されています。 ただし、AndroidアプリケーションがQualcommの署名をバイパスし、DSPで特権コードを実行する方法と、これがさらにセキュリティの問題を引き起こす可能性があることを示します。

Hexagon SDKは、ベンダーがDSP関連のコードを準備するための公式の方法です。 SDKに重大なバグが見つかり、Qualcommが所有するコードとベンダーのコードに何百もの隠れた脆弱性が発生しました。 真実は、Qualcommベースのスマートフォンに組み込まれているほとんどすべてのDSP実行可能ライブラリは、HexagonSDKの問題による攻撃に対して脆弱であるということです。 DSPソフトウェアで自動生成されたセキュリティホールを強調し、それらを悪用します。

このエクスプロイトはDSPゲートと呼ばれ、脆弱な受話器（主にAndroidデバイス）にインストールされているアプリがDSPを乗っ取って、デバイスを自由に操作できるようにしました。

Qualcommはこの問題にパッチを適用しましたが、残念ながらAndroidの断片化された性質のため、修正がほとんどの携帯電話に届く可能性は低いです。

チェック・ポイントのサイバー調査責任者であるYaniv Balmas氏は、「クアルコムはこの問題を修正しましたが、残念ながら話は終わりではありません。何億台もの電話がこのセキュリティリスクにさらされています」と述べています。

「このような脆弱性が悪意のある攻撃者によって発見され、使用された場合、非常に長い間自分自身を保護する方法がほとんどない数千万人の携帯電話ユーザーが存在するでしょう」とバルマス氏は付け加えました。

幸い、Check PointはまだDSPゲートの完全な詳細を公開していません。つまり、ハッカーが実際にDSPゲートを悪用し始めるまでにはしばらく時間がかかる可能性があります。

クアルコムは声明の中で次のように述べています。

「堅牢なセキュリティとプライバシーをサポートするテクノロジーを提供することは、クアルコムの優先事項です。 CheckPointによって開示されたQualcommComputeDSPの脆弱性に関して、私たちは問題を検証し、OEMが適切な緩和策を利用できるようにするために熱心に取り組みました。 現在悪用されているという証拠はありません。 エンドユーザーには、パッチが利用可能になったらデバイスを更新し、GooglePlayストアなどの信頼できる場所からのみアプリケーションをインストールすることをお勧めします。」

、 フォーブス