DSP kapısı: Büyük Qualcomm çip kusuru, akıllı telefonların %40'ını tamamen açıkta bırakıyor
3 dk. okuman
Yayınlandı
Bu makaleyi paylaş
Bu kılavuzu geliştirin
MSPoweruser'ın editör ekibini ayakta tutmasına nasıl yardımcı olabileceğinizi öğrenmek için açıklama sayfamızı okuyun. Daha fazla
Qualcomm, akıllı telefon yonga setlerinde, el cihazlarını tamamen bilgisayar korsanlarına maruz bırakan büyük bir kusur keşfettiğini doğruladı.
Check Point Security tarafından keşfedilen, çoğu Android telefonunda bulunan Snapdragon DSP'deki kusur, bilgisayar korsanlarının verilerinizi çalmasına, bulunması imkansız casus yazılım yüklemesine veya ahizenizi tamamen engellemesine izin verir.
Check Point, kusuru halka açık bir şekilde ortaya çıkardı Pwn2Own.
Şunları not ederler:
Güvenlik nedenleriyle, cDSP, OEM'ler ve sınırlı sayıda üçüncü taraf yazılım satıcısı tarafından programlama için lisanslanmıştır. DSP üzerinde çalışan kod Qualcomm tarafından imzalanmıştır. Ancak, bir Android uygulamasının Qualcomm'un imzasını nasıl atlayabileceğini ve DSP'de ayrıcalıklı kod çalıştırabileceğini ve bunun başka hangi güvenlik sorunlarına yol açabileceğini göstereceğiz.
Hexagon SDK, satıcıların DSP ile ilgili kodu hazırlamasının resmi yoludur. SDK'da, Qualcomm'un sahip olduğu ve satıcıların kodunda yüzlerce gizli güvenlik açığına yol açan ciddi hatalar keşfettik. Gerçek şu ki, Qualcomm tabanlı akıllı telefonlara yerleştirilmiş neredeyse tüm DSP yürütülebilir kitaplıkları, Hexagon SDK'daki sorunlar nedeniyle saldırılara karşı savunmasızdır. DSP yazılımında otomatik olarak oluşturulan güvenlik açıklarını vurgulayacağız ve ardından bunlardan yararlanacağız.
DSP kapısı olarak adlandırılan bu istismar, savunmasız bir telefona (çoğunlukla Android cihazlar olan) yüklenen herhangi bir uygulamanın DSP'yi ele geçirmesine ve ardından cihazı serbest bırakmasına izin verdi.
Qualcomm sorunu düzeltti, ancak ne yazık ki Android'in parçalı yapısı nedeniyle, düzeltmenin çoğu el cihazına ulaşması pek olası değil.
Check Point'in siber araştırma başkanı Yaniv Balmas, "Qualcomm sorunu çözmüş olsa da, ne yazık ki hikayenin sonu değil" dedi ve "yüz milyonlarca telefon bu güvenlik riskine maruz kalıyor."
Balmas, "Bu tür güvenlik açıkları bulunur ve kötü niyetli aktörler tarafından kullanılırsa, kendilerini çok uzun bir süre korumanın neredeyse hiçbir yolu olmayan on milyonlarca cep telefonu kullanıcısı olacak" diye ekledi.
Neyse ki Check Point henüz DSP geçidinin tüm ayrıntılarını yayınlamadı, bu da bilgisayar korsanlarının onu vahşi doğada sömürmeye başlaması için biraz zaman olabileceği anlamına geliyor.
Qualcomm yaptığı açıklamada şunları söyledi:
“Güçlü güvenlik ve gizliliği destekleyen teknolojiler sağlamak Qualcomm için bir önceliktir. Check Point tarafından açıklanan Qualcomm Compute DSP güvenlik açığıyla ilgili olarak, sorunu doğrulamak ve OEM'lere uygun azaltmaları sağlamak için özenle çalıştık. Şu anda istismar edildiğine dair hiçbir kanıtımız yok. Son kullanıcıları, yamalar çıktıkça cihazlarını güncellemeye ve yalnızca Google Play Store gibi güvenilir konumlardan uygulama yüklemeye teşvik ediyoruz."
üzerinden Forbes
