Check Point Research to ważna firma zajmująca się bezpieczeństwem, która istnieje na rynku od wielu lat i ma tendencję do testowania urządzeń i terminali, takich jak telefony i procesory, w celu przetestowania ich bezpieczeństwa. Procesory Snapdragon; a dokładniej do DSP jednego z nich.
Firma znalazła poważna wada w testowanym układzie DSP (Digital Signal Processor), który jest reprezentowany przez ponad 400 fragmentów wrażliwego kodu. Sprowadza się to do poważnych luk w zabezpieczeniach, jeśli chodzi o bezpieczeństwo i prywatność konsumentów.
Badania przeprowadzone przez firmę Check Point Research na procesorach Qualcomm nazwano „Achilles”
Qualcomm oferuje szeroką gamę chipów wbudowanych w urządzenia, które stanowią ponad 40% obecnego rynku telefonów komórkowych, w tym telefony z wyższej półki firm Google, Samsung, LG, Xiaomi, OnePlus i nie tylko. W tym przypadku to, co zostało powiedziane, oznacza, że może to mieć wpływ na telefony tych marek z chipsetami Snapdragon.
Problemy, które reprezentuje ta awaria, mogą być następujące:
- Atakujący mogą zmienić telefon w doskonałe narzędzie szpiegowskie, bez konieczności interakcji z użytkownikiem: Informacje, które można wyodrębnić z telefonu, obejmują zdjęcia, filmy, nagrywanie rozmów, dane mikrofonu w czasie rzeczywistym, dane GPS i lokalizacji itp.
- Atakujący mogą sprawić, że telefon komórkowy będzie ciągle nie odpowiadał, co sprawia, że wszystkie informacje przechowywane w tym telefonie są trwale niedostępne, w tym zdjęcia, filmy, dane kontaktowe itp., czyli ukierunkowany atak typu „odmowa usługi”.
- Złośliwe oprogramowanie i inny złośliwy kod mogą całkowicie ukryć Twoje działania i stać się nieruchome.
Co to jest układ DSP?
Zgodnie z opisem firmy zajmującej się bezpieczeństwem DSP (Digital Signal Processor) to SoC, który ma sprzęt i oprogramowanie zaprojektowane w celu optymalizacji i umożliwienia każdego obszaru użytkowania urządzenia, w tym:
- Umiejętności ładowania (takie jak funkcje „szybkiego ładowania”).
- Doświadczenia multimedialne, np. Wideo, przechwytywanie HD, zaawansowane możliwości AR.
- Różne funkcje audio.
Krótko mówiąc, DSP to kompletny komputer na jednym chipie, a prawie każdy nowoczesny telefon zawiera co najmniej jeden z tych chipów.
Chociaż chipy DSP stanowią stosunkowo niedrogie rozwiązanie, które umożliwia telefonom komórkowym dostarczanie użytkownikom końcowym większej funkcjonalności i udostępnianie innowacyjnych funkcji, są one kosztowne. Te chipy wprowadzają nową powierzchnię ataku i słabe punkty tych urządzeń mobilnych. [Odkryć: Samsung współpracuje z ARM i AMD, aby pokonać Qualcomm]
Chipy DSP są znacznie bardziej narażone na ryzykoponieważ są one zarządzane jako „czarne skrzynki”, co sprawia, że sprawdzenie projektu, funkcjonalności lub kodu przez kogokolwiek innego niż ich producent jest bardzo skomplikowane. Dlatego jeśli producent nie jest świadomy awarii, może ona tam być obecna i ze względu na to, kto lub co jest w stanie ją wykryć, co może stać się złe.
Snapdragon 865 Plus jest obecnie najbardziej zaawansowanym procesorem Qualcomm
Ze względu na „czarną skrzynkę” chipów DSP, producentom urządzeń mobilnych bardzo trudno jest rozwiązać te problemy, ponieważ muszą one najpierw zostać rozwiązane przez producenta chipa.
Check Point Research, w ramach swojego zaangażowania w poprawę bezpieczeństwa konsumentów na arenie elektronicznej, przedstawił Qualcomm swój raport. Producent półprzewodników przyznał się do wady i zapowiedział, że wkrótce zostanie on naprawiony.
Podobnie sugerują analitycy jest bardzo mało prawdopodobne, aby złośliwe osoby lub organizacje mogły uzyskać dostęp do luk w zabezpieczeniach spowodowanych przez tę lukę, więc powinniśmy być spokojni w tej kłopotliwej sytuacji.
L exploity Są to programy komputerowe, które mają na celu wykorzystanie tego typu luk i działają na różne sposoby, w zależności od intencji ich wykonawcy. Jeśli są takie, które zostały wprowadzone w linijkach kodu chipsetów Qualcomm DSP, zostaną one zniszczone.
Qualcomm z pewnością zaoferuje ogólną aktualizację, która wkrótce wyeliminuje ten problem. Pakiet oprogramowania układowego byłby oferowany za pośrednictwem OTA przez producentów smartfonów, jak każda inna łatka bezpieczeństwa Androida, ale tego nie wiemy. Oczekujemy, że Qualcomm lub firmy mobilne poinformują nas, kiedy ten problem zostanie lub zostanie rozwiązany.