Check Point Research ir svarīga drošības firma, kas ir bijusi tirgū daudzus gadus un kurai ir tendence ņemt ierīces un termināļus, piemēram, tālruņus un procesorus, lai pārbaudītu to drošību, tāpēc tā ir nolēmusi apskatīt kādu no Qualcomm Snapdragon procesori. konkrētāk - vienas no tām DSP.
Firma atrada liels trūkums pārbaudītajā DSP (digitālā signāla procesora) mikroshēmā, kuru attēlo vairāk nekā 400 neaizsargāta koda vienību. Tas patērētājiem rada nopietnas ievainojamības drošības un privātuma ziņā.
Pētījums, ko Check Point Research veica Qualcomm procesoriem, tika nosaukts par "Achilles"
Qualcomm piedāvā plašu mikroshēmu klāstu, kas ir iestrādāts ierīcēs, kas pārstāv vairāk nekā 40% no pašreizējā mobilo tālruņu tirgus, tostarp augstas klases tālruņus no Google, Samsung, LG, Xiaomi, OnePlus un citiem. Šajā gadījumā teiktais nozīmē, ka varētu tikt ietekmēti šo zīmolu mobilie tālruņi ar Snapdragon mikroshēmojumiem.
Šīs kļūmes radītās problēmas var būt šādas:
- Uzbrucēji var pārvērst tālruni par perfektu spiegu rīku, neprasot lietotāja mijiedarbību: Informācija, ko var iegūt no tālruņa, ietver fotoattēlus, videoklipus, zvanu ierakstīšanu, reāllaika mikrofona datus, GPS un atrašanās vietas datus utt.
- Uzbrucēji var padarīt mobilo tālruni pastāvīgi nereaģējošu, kas padara visu šajā tālrunī saglabāto informāciju par pastāvīgi nepieejamu, tostarp fotoattēlus, videoklipus, kontaktinformāciju utt., citiem vārdiem sakot, mērķtiecīgu uzbrukuma uzbrukumu pakalpojuma atteikšanai.
- Ļaunprātīga programmatūra un cits ļaunprātīgs kods var pilnībā slēpt jūsu darbības un kļūt nekustīgs.
Kas ir DSP mikroshēma?
Kā aprakstījis drošības uzņēmums, DSP (Digital Signal Processor) ir SoC, kuram ir aparatūra un programmatūra, kas paredzēta, lai optimizētu un iespējotu katru ierīces izmantošanas apgabalu, tostarp:
- Lādēšanas prasmes (piemēram, "ātrās uzlādes" funkcijas).
- Multivides pieredze, piemēram, video, HD uzņemšana, uzlabotas AR iespējas.
- Dažādas audio funkcijas.
Īsumā un vienkārši sakot, DSP ir pilnīgs dators vienā mikroshēmā, un gandrīz jebkurš mūsdienu tālrunis ietver vismaz vienu no šīm mikroshēmām.
Kaut arī DSP mikroshēmas nodrošina salīdzinoši lētu risinājumu, kas ļauj mobilajiem tālruņiem nodrošināt galalietotājiem vairāk funkcionalitātes un iespējot novatoriskas funkcijas, tie maksā. Šīs mikroshēmas ievieš jaunu uzbrukuma virsmu un vājās vietas šīm mobilajām ierīcēm. [Noskaidrot: Samsung apvienojas ar ARM un AMD, lai pārspētu Qualcomm]
DSP mikroshēmas ir daudz neaizsargātākas pret riskiemjo tie tiek pārvaldīti kā "melnās kastes", kas padara to dizainu, funkcionalitāti vai kodu ļoti sarežģītu, izņemot to ražotāju. Tādēļ, ja ražotājs nezina par kļūmi, tas varētu būt klāt un, ņemot vērā to, kurš vai kas spēj to atklāt, kas var kļūt slikts.
Sakarā ar DSP mikroshēmu "melnās kastes" raksturu mobilo ierīču pārdevējiem ir ļoti grūti novērst šīs problēmas, jo vispirms tās ir jārisina mikroshēmu ražotājam.
Check Point Research kā daļu no apņemšanās uzlabot patērētāju drošību elektroniskajā arēnā sniedza Qualcomm ziņojumu. Pusvadītāju ražotājs atzina trūkumu un paziņoja, ka tas drīz tiks novērsts.
Līdzīgi to ierosina arī analītiķi ir maz ticams, ka ļaunprātīgas personas vai organizācijas varēja piekļūt drošības trūkumiem, ko izraisīja šis trūkums, tāpēc mums vajadzētu būt mierīgiem par šo grūtību.
L varoņdarbi Tās ir datorprogrammas, kuru mērķis ir izmantot šāda veida ievainojamības, un tās darbojas dažādos veidos, atkarībā no to izpildītāja nodomiem. Ja ir daži, kas ir ieviesti Qualcomm DSP mikroshēmu koda rindiņās, tie tiks iznīcināti.
Qualcomm noteikti piedāvās vispārīgu atjauninājumu, kas ļoti drīz novērsīs šo problēmu. Programmatūras pakotni viedtālruņu ražotāji piedāvās ar OTA starpniecību kā jebkuru citu Android drošības plāksteri, taču to mēs nezinām. Mēs sagaidām, ka Qualcomm vai mobilo sakaru uzņēmumi informēs mūs, kad šī problēma tiks atrisināta vai tiks atrisināta.