Check Point Research on oluline turvaettevõte, mis on olnud turul juba aastaid ja kipub seadmete ja terminalide, näiteks telefonide ja protsessorite abil proovima nende turvalisust, mistõttu on ta otsustanud heita pilgu Qualcommi ühele Snapdragoni protsessorid. täpsemalt öeldes ühe neist DSP-le.
Firma leidis testitud DSP (Digital Signal Processor) kiibi peamine viga, mida esindab enam kui 400 haavatavat koodi. See taandub tarbijate jaoks tõsistele haavatavustele turvalisuse ja privaatsuse osas.
Qualcommi protsessoritega tehtud Check Point Researchi uurimistöö kandis nime "Achilleus"
Qualcomm pakub laias valikus kiipe, mis on sisseehitatud seadmetesse, mis esindavad enam kui 40% praegusest mobiiltelefonide turust, sealhulgas Google'i, Samsungi, LG, Xiaomi, OnePlusi jt nutitelefonid. Antud juhul tähendab öeldu seda, et see võib mõjutada nende Snapdragoni kiibistikuga kaubamärkide mobiile.
See tõrge võib olla järgmine:
- Ründajad saavad muuta telefoni täiuslikuks spioonitööriistaks, ilma et oleks vaja kasutajate suhtlust: Telefonist eraldatav teave sisaldab fotosid, videoid, kõnede salvestamist, reaalajas mikrofoni andmeid, GPS-i ja asukohaandmeid jne.
- Ründajad võivad mobiiltelefoni pidevalt reageerida, mis muudab kogu selles telefonis salvestatud teabe püsivalt kättesaamatuks, sealhulgas fotod, videod, kontaktandmed jne, teisisõnu sihipärase teenuse keelamise rünnaku.
- Pahatahtlik tarkvara ja muu pahatahtlik kood võivad teie tegevused täielikult varjata ja muutuda liikumatuks.
Mis on DSP kiip?
Nagu turvafirma kirjeldas, on DSP (Digital Signal Processor) soC, millel on riistvara ja tarkvara, mis on mõeldud seadme iga kasutusala optimeerimiseks ja võimaldamiseks, sealhulgas järgmised:
- Laadimisoskus (näiteks funktsioonid "kiirlaadimine").
- Multimeediakogemused, nt video, HD-levi, täiustatud AR-võimalused.
- Erinevad helifunktsioonid.
Lühidalt ja lihtsalt öeldes on DSP terviklik arvuti ühes kiibis ja peaaegu iga kaasaegne telefon sisaldab vähemalt ühte neist kiibidest.
Kui DSP-kiibid pakuvad suhteliselt odavat lahendust, mis võimaldab mobiiltelefonidel pakkuda lõppkasutajatele rohkem funktsionaalsust ja võimaldada uuenduslikke funktsioone, on need siiski maksumuse hinnaga. Need kiibid toovad neile mobiilseadmetele uue rünnakupinna ja nõrgad kohad. [Uuri: Samsung ühineb ARMi ja AMD-ga Qualcommi võitmiseks]
DSP kiibid on riskide suhtes palju haavatavamadkuna neid hallatakse "mustade kastidena", mis muudab nende disaini, funktsionaalsuse või koodi ülevaatamise väga keeruliseks teistele kui nende tootja. Seega, kui tootja pole rikkest teadlik, võib see olla olemas ja silmas pidades, kes või mis suudab selle avastada, mis võib halvaks minna.
Snapdragon 865 Plus on Qualcommi tänapäevaseim protsessor
DSP kiipide "musta kasti" olemuse tõttu on mobiilseadmete müüjatel nende probleemide lahendamine väga keeruline, kuna kõigepealt peab kiipide tootja neid lahendama.
Check Point Research esitas Qualcommile oma aruande osana oma kohustusest parandada tarbijate ohutust elektroonilisel areenil. Pooljuhtide tootja tunnistas viga ja teatas, et see on peagi parandatud.
Samamoodi soovitavad seda ka analüütikud on väga ebatõenäoline, et pahatahtlikud isikud või organisatsioonid pääseksid selle vea põhjustatud turvaaukudesse, seega peaksime selle raskuse suhtes rahulikult olema.
osa ärakasutamine Need on arvutiprogrammid, mille eesmärk on seda tüüpi haavatavuste ära kasutamine ja mis töötavad erineval viisil, sõltuvalt nende täitja kavatsustest. Kui Qualcommi DSP-kiibistike koodiridadel on mõni selline, siis need hävitatakse.
Qualcomm pakub kindlasti üldist värskendust, mis selle probleemi varsti kõrvaldab. Püsivara paketti pakuksid nutitelefonide tootjad OTA kaudu nagu iga teist Androidi turvapaiku, kuid seda me ei tea. Eeldame, et Qualcomm või mobiiliettevõtted teavitavad meid, kui see probleem lahendatakse või lahendatakse.