DSP-gate: серьезная уязвимость чипа Qualcomm оставляет 40% смартфонов полностью незащищенными
3 минута. читать
Опубликовано
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Qualcomm подтвердила обнаружение серьезной уязвимости в своих чипсетах для смартфонов, из-за которой телефоны полностью уязвимы для хакеров.
Обнаруженная Check Point Security уязвимость в Snapdragon DSP, обнаруженная в большинстве телефонов Android, позволяет хакерам украсть ваши данные, установить невозможное для обнаружения шпионское программное обеспечение или полностью заблокировать ваш телефон.
Check Point публично раскрыла уязвимость в Pwn2Own, показывая, что систему безопасности Qualcomm, связанную с вмешательством в DSP в телефонах Snapdragon, было легко обойти: в коде было обнаружено 400 уязвимых мест.
Они отмечают:
Из соображений безопасности cDSP лицензируется для программирования OEM-производителями и ограниченным числом сторонних поставщиков программного обеспечения. Код, работающий на DSP, подписан Qualcomm. Однако мы покажем, как приложение для Android может обойти подпись Qualcomm и выполнить привилегированный код на DSP, и к каким дополнительным проблемам безопасности это может привести.
Hexagon SDK — это официальный способ для поставщиков подготовить код, связанный с DSP. Мы обнаружили серьезные ошибки в SDK, которые привели к сотням скрытых уязвимостей в коде Qualcomm и вендоров. Правда в том, что почти все исполняемые библиотеки DSP, встроенные в смартфоны на базе Qualcomm, уязвимы для атак из-за проблем в Hexagon SDK. Мы собираемся выделить автоматически сгенерированные дыры в безопасности в программном обеспечении DSP, а затем использовать их.
Этот эксплойт, получивший название DSP-gate, позволял любому приложению, установленному на уязвимом телефоне (в основном это устройства Android), захватить DSP, а затем получить полную свободу действий на устройстве.
Qualcomm исправила проблему, но, к сожалению, из-за фрагментированного характера Android маловероятно, что исправление будет доступно для большинства телефонов.
«Хотя Qualcomm устранила проблему, к сожалению, это не конец истории, — сказал Янив Балмас, глава отдела киберисследований Check Point, — этой угрозе безопасности подвержены сотни миллионов телефонов».
«Если такие уязвимости будут обнаружены и использованы злоумышленниками, — добавил Балмас, — у десятков миллионов пользователей мобильных телефонов почти не будет возможности защитить себя в течение очень долгого времени».
К счастью, Check Point еще не опубликовала полную информацию о DSP-gate, а это означает, что может пройти некоторое время, прежде чем хакеры начнут использовать его в дикой природе.
В заявлении Qualcomm говорится:
«Предоставление технологий, поддерживающих надежную защиту и конфиденциальность, является приоритетом для Qualcomm. Что касается уязвимости Qualcomm Compute DSP, раскрытой Check Point, мы усердно работали над проверкой проблемы и предоставлением OEM-производителям соответствующих мер по ее устранению. У нас нет доказательств того, что он в настоящее время эксплуатируется. Мы рекомендуем конечным пользователям обновлять свои устройства по мере появления исправлений и устанавливать приложения только из надежных мест, таких как Google Play Store».
с помощью Forbes