Check Point Research היא חברת אבטחה חשובה שנמצאת בשוק שנים רבות ונוטה לקחת מכשירים ומסופים כמו טלפונים ומעבדים כדי לבדוק עד כמה הם מאובטחים, ולכן היא החליטה להעיף מבט באחד ממוצרי קוואלקום. מעבדי לוע הארי; להיות ספציפי יותר, ל- DSP של אחד מאלה.
המשרד מצא פגם עיקרי בתוך שבב ה- DSP (Digital Signal Processor) שבדקת, המיוצג על ידי יותר מ -400 חתיכות קוד פגיע. זה מסתכם בפגיעות קשות מבחינת אבטחה ופרטיות עבור הצרכנים.
המחקר שביצע מחקר צ'ק פוינט על מעבדי קוואלקום כונה "אכילס"
קוואלקום מציעה מגוון רחב של שבבים המוטמעים במכשירים המייצגים יותר מ -40% משוק הטלפונים הניידים הנוכחיים, כולל טלפונים מתקדמים של גוגל, סמסונג, LG, שיאומי, OnePlus ועוד. במקרה זה, מה שנאמר פירושו שהניידים של המותגים האלה עם ערכות שבבים של Snapdragon עלולים להיות מושפעים.
הבעיות שמייצג כשל זה יכולות להיות הבאות:
- תוקפים יכולים להפוך את הטלפון לכלי ריגול מושלם, ללא צורך באינטראקציה של המשתמש: המידע שניתן לחלץ מהטלפון כולל תמונות, קטעי וידאו, הקלטת שיחות, נתוני מיקרופון בזמן אמת, GPS ונתוני מיקום וכו '.
- תוקפים יכולים לגרום לטלפון הנייד להגיב ללא הרף, מה שהופך את כל המידע המאוחסן בטלפון זה ללא זמין לצמיתות, כולל תמונות, קטעי וידאו, פרטי קשר וכו ', במילים אחרות שלילת פגיעה ממוקדת בשירות.
- תוכנות זדוניות וקודים זדוניים אחרים יכולים להסתיר לחלוטין את הפעילויות שלך ולהפוך למצב שאינו נע.
מהו שבב DSP?
כמתואר על ידי חברת האבטחה, DSP (Digital Signal Processor) הוא SoC בעל חומרה ותוכנה שנועדו לייעל ולאפשר כל אזור שימוש במכשיר, כולל הדברים הבאים:
- מיומנויות טעינה (כגון תכונות "טעינה מהירה").
- חוויות מולטימדיה, למשל וידאו, צילום HD, יכולות AR מתקדמות.
- פונקציות שמע שונות.
בקצרה ובמילים פשוטות, DSP הוא מחשב שלם על שבב יחיד, וכמעט כל טלפון מודרני כולל לפחות אחד מהשבבים הללו.
אמנם שבבי DSP מספקים פיתרון זול יחסית המאפשר לטלפונים ניידים לספק למשתמשי הקצה פונקציונליות רבה יותר ולאפשר תכונות חדשניות, אך מחירם הוא גבוה. שבבים אלה מציגים משטח התקפה חדש ונקודות תורפה למכשירים הניידים הללו. [תגלה: סמסונג מתחברת עם ARM ו- AMD כדי לנצח את קוואלקום]
שבבי DSP פגיעים הרבה יותר לסיכוניםכיוון שהם מנוהלים כ"קופסאות שחורות ", מה שהופך את זה למורכב מאוד עבור כל מי שאינו היצרן שלהם לבחון את העיצוב, הפונקציונליות או הקוד שלהם. לכן, אם היצרן אינו מודע לכשל, הוא יכול להיות שם ונוכח מי או מה שמסוגל לזהות אותו, מה שעלול להפוך לרע.
ה- Snapdragon 865 Plus הוא המעבד המתקדם ביותר של קוואלקום כיום
בשל אופי ה"קופסה השחורה "של שבבי DSP, קשה מאוד לספקי מכשירים ניידים לפתור בעיות אלה, מכיוון שיצרן השבבים צריך לטפל בהן תחילה.
מחקר צ'ק פוינט, כחלק מהמחויבות שלה לשפר את בטיחות הצרכנים בזירה האלקטרונית, סיפק לקוואלקום את הדו"ח שלה. יצרן המוליכים למחצה הודה בפגם והודיע כי יתוקן בקרוב.
באופן דומה, אנליסטים מציעים זאת מאוד לא סביר שאנשים או ארגונים זדוניים הצליחו לגשת לחורי האבטחה שנגרמו על ידי פגם זהאז עלינו להיות רגועים בבעיה זו.
ل מעללים מדובר בתוכנות מחשב שמטרתן לנצל את סוגי הפגיעות הללו ולעבוד בדרכים שונות, בהתאם לכוונותיו של המוציא לפועל. אם יש כאלה שהוצגו בשורות הקוד של ערכות השבבים DSP של קוואלקום, אלה היו מושמדים.
קוואלקום בוודאי תציע עדכון כללי שיחסל בעיה זו בקרוב מאוד. חבילת הקושחה תוצע באמצעות OTA על ידי יצרני הסמארטפונים ככל תיקון אבטחה אחר של Android, אך את זה איננו יודעים. אנו מצפים שקוואלקום או חברות הסלולר יודיעו לנו מתי בעיה זו תיפתר או תיפתר.