Check Point Research je dôležitá bezpečnostná firma, ktorá je na trhu už mnoho rokov a má tendenciu testovať ich bezpečnosť pomocou zariadení a terminálov, ako sú telefóny a procesory, a preto sa rozhodla pozrieť na jednu z firiem Qualcomm Procesory Snapdragon;; konkrétnejšie pre DSP jedného z nich.
Firma našla hlavná chyba v testovanom čipe DSP (Digital Signal Processor), čo predstavuje viac ako 400 kusov zraniteľného kódu. To vedie k závažným zraniteľnostiam spotrebiteľov z hľadiska bezpečnosti a súkromia.
Výskum, ktorý spoločnosť Check Point Research uskutočňovala na procesoroch Qualcomm, dostal názov „Achilles“
Spoločnosť Qualcomm ponúka širokú škálu čipov zabudovaných do zariadení, ktoré predstavujú viac ako 40% súčasného trhu s mobilnými telefónmi, vrátane špičkových telefónov od spoločností Google, Samsung, LG, Xiaomi, OnePlus a ďalších. V takom prípade to, čo bolo povedané, znamená, že to môže mať vplyv na mobily týchto značiek s čipsetmi Snapdragon.
Problémy, ktoré toto zlyhanie predstavuje, môžu byť nasledujúce:
- Útočníci dokážu z telefónu urobiť dokonalý špionážny nástroj bez toho, aby vyžadovali interakciu používateľa: Informácie, ktoré je možné extrahovať z telefónu, zahŕňajú fotografie, videá, nahrávanie hovorov, údaje o mikrofóne v reálnom čase, údaje o GPS a polohe atď.
- Útočníci môžu spôsobiť, že mobilný telefón neustále nereaguje, vďaka čomu sú všetky informácie uložené v tomto telefóne natrvalo nedostupné, vrátane fotografií, videí, kontaktných údajov atď., inými slovami cielený útok odmietnutia služby.
- Škodlivý softvér a iný škodlivý kód môžu úplne skryť vaše aktivity a stať sa nehybnými.
Čo je to DSP čip?
Ako popísala bezpečnostná firma, DSP (Digital Signal Processor) je SoC, ktorý má hardvér a softvér navrhnutý na optimalizáciu a umožnenie každej oblasti použitia v zariadení, vrátane nasledujúcich:
- Nabíjacie schopnosti (napríklad funkcie „rýchleho nabíjania“).
- Multimediálne zážitky, napríklad video, snímanie HD, pokročilé možnosti AR.
- Rôzne zvukové funkcie.
Stručne a jednoducho povedané, DSP je kompletný počítač na jednom čipe a takmer každý moderný telefón obsahuje aspoň jeden z týchto čipov.
Zatiaľ čo čipy DSP poskytujú relatívne lacné riešenie, ktoré umožňuje mobilným telefónom poskytnúť koncovým používateľom viac funkcií a umožniť inovatívne funkcie, sú cenovo náročné. Tieto čipy predstavujú pre tieto mobilné zariadenia nový útočný povrch a slabé miesta. [Zistiť: Spoločnosť Samsung sa spojila s firmami ARM a AMD, aby porazila spoločnosť Qualcomm]
DSP čipy sú oveľa citlivejšie na rizikápretože sú spravované ako „čierne skrinky“, vďaka čomu je pre kohokoľvek iného ako ich výrobcu veľmi zložité skontrolovať ich dizajn, funkčnosť alebo kód. Ak si teda výrobca nie je vedomý poruchy, môže byť v nej prítomný a vzhľadom na to, kto alebo čo je schopné ju zistiť, sa môže stať zlou.
Snapdragon 865 Plus je dnes najvyspelejším procesorom spoločnosti Qualcomm
Kvôli „čiernej skrinke“ DSP čipov je pre dodávateľov mobilných zariadení veľmi ťažké tieto problémy vyriešiť, pretože najskôr ich musí vyriešiť výrobca čipov.
Spoločnosť Check Point Research v rámci svojho záväzku zlepšiť bezpečnosť spotrebiteľov v elektronickej oblasti poskytla spoločnosti Qualcomm svoju správu. Výrobca polovodičov chybu uznal a oznámil, že sa čoskoro napraví.
Analytici to podobne naznačujú je vysoko nepravdepodobné, že by sa jednotlivci alebo organizácie so zlým úmyslom mohli dostať k bezpečnostným dieram spôsobeným touto chybou, takže by sme mali byť pri tejto situácii pokojní.
undefined využije Sú to počítačové programy, ktorých cieľom je využiť výhody týchto typov zraniteľností a pracovať rôznymi spôsobmi v závislosti od zámerov ich vykonávateľa. Ak by boli niektoré vložené do riadkov kódu čipových sád Dual Qualcomm, boli by vyhladené.
Qualcomm určite ponúkne všeobecnú aktualizáciu, ktorá tento problém veľmi skoro eliminuje. Balík firmvéru by výrobcovia inteligentných telefónov ponúkali prostredníctvom OTA ako každú inú bezpečnostnú opravu systému Android, ale to nevieme. Očakávame, že spoločnosť Qualcomm alebo mobilné spoločnosti nás budú informovať, kedy bude alebo bude tento problém vyriešený.