DSP-gate: Massivt Qualcomm-chipfel lämnar 40 % av smartphones helt exponerade
3 min. läsa
Publicerad den
Dela den här artikeln
Förbättra den här guiden
Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer
Qualcomm har bekräftat upptäckten av ett massivt fel i deras smarttelefonchipset som gör att telefoner är helt utsatta för hackare.
Upptäckt av Check Point Security, bristen i Snapdragon DSP som finns i de flesta Android-telefoner skulle låta hackare stjäla din data, installera omöjlig att hitta spionprogramvara eller helt mura din telefon.
Check Point avslöjade offentligt felet kl Pwn2Own, avslöjar att Qualcomms säkerhet kring manipulering av DSP i Snapdragon-telefoner lätt kunde kringgås, med 400 exploateringsbara brister som hittades i koden.
De noterar:
Av säkerhetsskäl är cDSP licensierad för programmering av OEM och av ett begränsat antal tredjepartsleverantörer av mjukvara. Koden som körs på DSP är signerad av Qualcomm. Vi kommer dock att visa hur en Android-applikation kan kringgå Qualcomms signatur och exekvera privilegierad kod på DSP, och vilka ytterligare säkerhetsproblem detta kan leda till.
Hexagon SDK är det officiella sättet för leverantörerna att förbereda DSP-relaterad kod. Vi upptäckte allvarliga buggar i SDK:n som har lett till hundratals dolda sårbarheter i Qualcomm-ägda och leverantörers kod. Sanningen är att nästan alla körbara DSP-bibliotek inbäddade i Qualcomm-baserade smartphones är sårbara för attacker på grund av problem i Hexagon SDK. Vi kommer att lyfta fram de automatiskt genererade säkerhetshålen i DSP-programvaran och sedan utnyttja dem.
Exploateringen, kallad DSP-gate, tillät vilken app som helst installerad på en sårbar handenhet (som huvudsakligen är Android-enheter) att ta över DSP:n och sedan ha fria tyglar på enheten.
Qualcomm har åtgärdat problemet, men tyvärr på grund av Androids fragmenterade karaktär är det osannolikt att korrigeringen kommer att nå de flesta telefoner.
"Även om Qualcomm har åtgärdat problemet, är det tyvärr inte slutet på historien," sa Yaniv Balmas, chef för cyberforskning på Check Point, "hundratals miljoner telefoner är utsatta för denna säkerhetsrisk."
"Om sådana sårbarheter hittas och används av illvilliga aktörer," tillade Balmas, "kommer det att finnas tiotals miljoner mobiltelefonanvändare som nästan inte kan skydda sig själva under mycket lång tid."
Lyckligtvis har Check Point inte publicerat de fullständiga detaljerna om DSP-gate ännu, vilket betyder att det kan dröja ett tag innan hackare börjar utnyttja den i det vilda.
I ett uttalande sa Qualcomm:
"Att tillhandahålla teknik som stöder robust säkerhet och integritet är en prioritet för Qualcomm. När det gäller Qualcomm Compute DSP-sårbarheten som avslöjats av Check Point, arbetade vi flitigt för att validera problemet och göra lämpliga åtgärder tillgängliga för OEM-tillverkare. Vi har inga bevis för att den för närvarande utnyttjas. Vi uppmuntrar slutanvändare att uppdatera sina enheter när patchar blir tillgängliga och att endast installera applikationer från pålitliga platser som Google Play Butik.”
via forbes
