DSP-gate: ogromna napaka na čipu Qualcomm pušča 40 % pametnih telefonov popolnoma izpostavljenih
3 min. prebrati
Objavljeno dne
Dajte v skupno rabo ta članek
Izboljšajte ta vodnik
Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več
Qualcomm je potrdil odkritje velike napake v svojih naborih čipov za pametne telefone, zaradi česar so mobilniki popolnoma izpostavljeni hekerjem.
Napaka v Snapdragon DSP, ki jo najdemo v večini mobilnih telefonov Android, ki jo je odkril Check Point Security, bi hekerjem omogočila, da ukradejo vaše podatke, namestijo programsko opremo, ki je nemogoče najti, ali popolnoma uničijo vašo slušalko.
Check Point je javno razkril napako na Pwn2Own, ki razkriva, da je bila Qualcommova varnost v zvezi z posegi v DSP v mobilnih napravah Snapdragon zlahka zaobljena, pri čemer je bilo v kodi najdenih 400 napak, ki jih je mogoče izkoristiti.
Opažajo:
Iz varnostnih razlogov ima cDSP licenco za programiranje proizvajalci originalne opreme in omejeno število ponudnikov programske opreme tretjih oseb. Kodo, ki se izvaja na DSP, podpiše Qualcomm. Vendar bomo pokazali, kako lahko aplikacija za Android obide podpis Qualcomm in izvede privilegirano kodo na DSP ter do kakšnih nadaljnjih varnostnih težav lahko to privede.
Hexagon SDK je uradni način za prodajalce za pripravo kode, povezane z DSP. Odkrili smo resne napake v SDK-ju, ki so privedle do stotine skritih ranljivosti v kodi Qualcomma in kodi prodajalcev. Resnica je, da so skoraj vse izvedljive knjižnice DSP, vdelane v pametne telefone, ki temeljijo na Qualcommu, ranljive za napade zaradi težav v Hexagon SDK. Poudarili bomo samodejno ustvarjene varnostne luknje v programski opremi DSP in jih nato izkoristili.
Izkoriščanje, imenovano DSP-gate, je omogočilo kateri koli aplikaciji, nameščeni na ranljivi slušalki (ki so večinoma naprave Android), da prevzame DSP in nato prosto upravlja z napravo.
Qualcomm je težavo odpravil, a na žalost zaradi razdrobljene narave Androida ni verjetno, da bo popravek dosegel večino telefonov.
"Čeprav je Qualcomm odpravil težavo, to žal še ni konec zgodbe," je dejal Yaniv Balmas, vodja kibernetskih raziskav pri Check Pointu, "na stotine milijonov telefonov je izpostavljenih temu varnostnemu tveganju."
"Če takšne ranljivosti odkrijejo in uporabijo zlonamerni akterji," je dodal Balmas, "bo na desetine milijonov uporabnikov mobilnih telefonov, ki se dolgo časa skoraj ne bodo mogli zaščititi."
Na srečo Check Point še ni objavil vseh podrobnosti o DSP-gate, kar pomeni, da bo morda minilo nekaj časa, preden ga bodo hekerji začeli izkoriščati v naravi.
Qualcomm je v izjavi dejal:
»Zagotavljanje tehnologij, ki podpirajo zanesljivo varnost in zasebnost, je prednostna naloga družbe Qualcomm. V zvezi z ranljivostjo Qualcomm Compute DSP, ki jo je razkril Check Point, smo si pridno prizadevali, da bi potrdili težavo in dali na voljo ustrezne ublažitve za proizvajalce originalne opreme. Nimamo dokazov, da se trenutno izkorišča. Končne uporabnike spodbujamo, da posodobijo svoje naprave, ko bodo na voljo popravki, in da namestijo aplikacije samo z zaupanja vrednih lokacij, kot je Trgovina Google Play.”
preko Forbes
