neprihlásený Štvrtok, 1. októbra 2020, dnes má meniny Arnold
Smartfóny s Qualcomm CPU sú zraniteľné, dajú sa využiť na špehovanie

Značky: smartfónyQualcommbezpečnosť

DSL.sk, 9.8.2020


Smartfóny postavené na Qualcomm CPU, ktoré sa nachádzajú v mnohých modeloch smartfónov najmä najvyššej, vyššej a strednej triedy, majú množstvo zraniteľností nového doteraz typicky neanalyzovaného typu s vážnymi dôsledkami.

Upozornila na to spoločnosť Check Point Research, ktorá identifikovala až viac ako 400 takýchto zraniteľností týkajúcich sa DSP v Qualcomm CPU.

Moderné ARM SoC CPU pre smartfóny typicky obsahujú tzv. DSP, Digital Signal Processor, blok určený pre efektívne spracovávanie špecifických dát ako sú napríklad audio, video a obrazové dáta, dáta z ďalších senzorov a iné dáta. V Qualcomm CPU sa nachádzajú DSP označené Hexagon.

Na tomto DSP beží operačný systém QuRT OS a spúšťaný je len kód podpísaný Qualcommom a vytvorený touto spoločnosťou, výrobcami smartfónov a ďalšími tvorcami. V existujúcich knižniciach pre tento DSP ale experti identifikovali viac ako 400 zraniteľností, pričom niektoré sa dajú využiť na spustenie privilegovaného kódu na DSP a podľa expertov okrem iného umožňujú premeniť smartfóny na špehovacie zariadenia, získať z nich obrazové, zvukové a lokalizačné dáta a zároveň kompletne skryť škodlivý kód.

Spoločnosť zatiaľ nezverejnila kompletné technické informácie keďže zraniteľnosti evidentne neboli ešte plošne opravené a oficiálne oznámenie je pomerne stručné. Viac informácií ale zverejnila v piatok na bezpečnostnej konferencii Def Con, prezentáciu si je možné pozrieť v tomto videu.

Za vysoký počet zraniteľností je evidentne zodpovedný Hexagon SDK pre tvorbu softvéru pre Hexagon DSP, ktorý podľa expertov generoval zraniteľný kód. SDK je už opravený a tvorcovia softvéru pre DSP musia teraz prekompilovať svoj kód.

Koľko zariadení celkovo je zraniteľných, na koľkých a kedy budú zraniteľnosti opravené nie je jasné. Zneužiť sa dajú škodlivými aplikáciami, Qualcomm tak v stanovisku pre americké médiá odporúča užívateľom inštalovať aplikácie len z overených zdrojov ako Google Play a samozrejme inštalovať aktualizácie od výrobcov telefónov. Aj do Google Play sa ale dostávajú aj škodlivé aplikácie, keď informácie o identifikovaní a odstraňovaní takýchto aplikácií sa objavujú pomerne pravidelne.


      Zdieľaj na Twitteri



Najnovšie články:

Google uviedol 5G smartfóny
Microsoft zlepšuje podporu ARM, pridá emuláciu 64-bitových aplikácií
Uniknutý zdrojový kód je naozaj Windows XP, podarilo sa ho skompilovať
Orange pri včerajšom výpadku nastavoval cudzie DNS servery
Z ISS uniká vzduch z ruského modulu, kde sa pri testoch zdržiavala posádka
Vydaná beta Fedory 33, prešla na Btrfs
Orange má zase problémy s Internetom
Prvý let SpaceX s väčšou posádkou na konci októbra
Známy informatik predpovedá Windows postavený na Linuxe
NASA stanovila dátum odoberania vzorky z asteroidu


Diskusia:
                               
 

Zodpovedny a rozhladeny zakaznik bude preferovat CPU Helio od Media Tek, ktore su asi bezpecne a vykonne.
Odpovedať Známka: 1.1 Hodnotiť:
 

Každému psychológovi je ale jasné, že tajným špehovaním iných sa je možné dozvedieť najviac priekazne o sebe.
Odpovedať Známka: 0.8 Hodnotiť:
 

sry, ale velmi vlhka predstava.
Odpovedať Známka: 2.9 Hodnotiť:
 

Ty si vlhka predstava, hlavne basistov. Aj moja babka si studuje parametre telefonov a vybera podla specifikacii. Obvykle prezrie aj CVEcka, takze ty si riadne mimo.
Odpovedať Známka: -3.3 Hodnotiť:
 

ked ti porodila mamu v 16 a teba mama tak nejak podobne, tak preco nie? este jej ani studna nemusela vyschnut :D
Odpovedať Hodnotiť:
 

My máme radšej čínsku rozviedku - podporujeme HiSilicon Kirin!
Odpovedať Známka: 8.0 Hodnotiť:
 

Snad nam neostane len Apple ako etalon bezpecnosti pri smartfonoch ... (zatial som si nevsimol velku kauzu ohladne bezpecnosti okrem desifrovania a spristupnenia udajov na iphonoch napr. po bostonskych utokoch).
Odpovedať Známka: -6.0 Hodnotiť:
 

Americke herecky by asi nesuhlasili...
Odpovedať Známka: 2.9 Hodnotiť:
 

Slabé heslo na iCloud má pramálo spoločne s dierami v cpu
Odpovedať Známka: 4.3 Hodnotiť:
 

Este tu mas Samsung, v jeho telefonoch su Exynosy. Teda v tych, co sa predavaju mimo US.
Odpovedať Hodnotiť:
 

Ani nechcem vediet, kolko hovna je v mediatekoch ...
Odpovedať Známka: -3.3 Hodnotiť:
 

To je tak keď v dnešnej dobe má každý čip svoj vlastný OS :-)
Odpovedať Známka: 8.9 Hodnotiť:
 

CIA left the chat
Odpovedať Známka: 7.2 Hodnotiť:
 

NA SLOVENSKU PO SLOVENSKI
Odpovedať Známka: -6.2 Hodnotiť:
 

CIA vľavo v konverzácii
Odpovedať Známka: 9.5 Hodnotiť:
 

Pri najbližšej príležitosti sa priekazne otočte do protismeru.
Odpovedať Známka: -1.1 Hodnotiť:
 

Aj tak ARM kúpi Huawei a všetci budú spokojný teda aspoň SOFTBANK
Odpovedať Známka: 10.0 Hodnotiť:
 

fuuuuuhaa no trampa by jeblo!
Odpovedať Známka: 6.4 Hodnotiť:
 

Podla mna on skor podnika v nehnutelnostiach. Toto kupit nechce.
Odpovedať Známka: 10.0 Hodnotiť:
 

To som zvedavý, koľko HW zraniteľností bude mať ten Hexagon CPU.
Odpovedať Hodnotiť:
 

Veľký brat ťa vždy sleduje! Ide len o to, či dáš prednosť americkému alebo čínskemu bratovi...
Odpovedať Známka: 10.0 Hodnotiť:
 

Europa je uz celkom v upadku.
Odpovedať Známka: 6.7 Hodnotiť:
 

ja som daval data americanom, teraz davam cinancom, a mozno po case zase budem davat americanom, nech je vo svete rovnovaha
Odpovedať Známka: 10.0 Hodnotiť:
 

Sprosta otazka - ktory sa v dnesnej dobe neda?
Odpovedať Hodnotiť:
 

Kedysi sa ľudia špehovali cez kľúčové dierky, alebo v tmavých uličkách. Dnes sa nechávajú špehovať cez telefóny. Pokrok nezastavíš.
Odpovedať Známka: 10.0 Hodnotiť:
 

Prdlajs. Nekompromisným zastávaním ideálov vízie genderovej a rasovej rovnosti ide na dvoch centimetroch priekazne zastaviť i plne rozbehnutý Šinkansen.
Odpovedať Známka: 3.3 Hodnotiť:
 

A tá základňa echelonu v AT neďaleko BA je v poriadku? 48.1148306N 17.0254292E
Odpovedať Hodnotiť:

Pridať komentár