Τα DSP στα τσιπ Qualcomm Snapdragon σύμφωνα με πληροφορίες περιέχουν πάνω από 400 ευπάθειες. Οι επιτιθέμενοι θα μπορούσαν να τα χρησιμοποιήσουν για κατασκοπεία, κακόβουλο λογισμικό ή για απλές συσκευές. Οι διορθώσεις βρίσκονται κοντά και δεν υπάρχουν γνωστές επιθέσεις, αλλά εξακολουθεί να είναι ανησυχητικό.
Εάν χρησιμοποιείτε ένα τηλέφωνο Android με ένα τσιπ Snapdragon στο εσωτερικό, υπάρχει μια καλή πιθανότητα να είναι ευαίσθητο σε μια σειρά από δυνητικά σοβαρά ελαττώματα ασφαλείας. Οι ερευνητές ασφάλειας του Check Point λένε ότι έχουν ανακαλύψει περισσότερες από 400 ευπάθειες κώδικα, με το παρατσούκλι «Achilles», στους επεξεργαστές ψηφιακού σήματος (DSP) των τσιπ Snapdragon της Qualcomm.
Η ομάδα διατηρεί ένα μυστικό των λεπτομερειών για να αποτρέψει την κακόβουλη χρήση των τρωτών σημείων προτού επιλυθεί. Ωστόσο, οι συνέπειες μπορεί να είναι σοβαρές. Το Check Point λέει ότι οι εισβολείς μπορούν να καταγράψουν ήσυχα κλήσεις, να κλέψουν δεδομένα, να καταστήσουν τις συσκευές άχρηστες και ακόμη και να εγκαταστήσουν εντελώς σιωπηλό, μη αφαιρούμενο κακόβουλο λογισμικό.
Δεν είναι σαφές πόσο εύκολο είναι να εκμεταλλευτούμε τα ελαττώματα ως αποτέλεσμα. Ωστόσο, οι ερευνητές χρησιμοποίησαν «τεχνολογίες δοκιμών fuzz» και άλλες μεθόδους για τον εντοπισμό ελαττωμάτων στα DSP, τα οποία τείνουν να είναι μαύρα κουτιά που είναι πιο δύσκολο να μελετηθούν. Η Check Point σημείωσε ότι οι πωλητές τηλεφώνων δεν μπορούσαν απλά να το επιδιορθώσουν καθώς ο chipmaker (σε αυτήν την περίπτωση, η Qualcomm) έπρεπε να αντιμετωπίσει τα ζητήματα πρώτα.
Οι λύσεις είναι ευτυχώς πολύ κοντά. Η Qualcomm αναγνώρισε τα ελαττώματα και μοιράστηκε λεπτομέρειες με μάρκες, ενώ παρέχει «κατάλληλους μετριασμούς» σε μάρκες, δήλωσε εκπρόσωπος της MarketWatch. Ο εκπρόσωπος είπε επίσης ότι δεν υπήρχε «ένδειξη» ενεργής αξιοποίησης και ότι οι χρήστες θα μπορούσαν να ελαχιστοποιήσουν τον κίνδυνο τους παίρνοντας ενημερώσεις κώδικα όταν είναι διαθέσιμοι και κατεβάζοντας εφαρμογές από «αξιόπιστα» καταστήματα όπως το Google Play Store.
Η πρακτική απειλή είναι σχετικά χαμηλή έως και αν δεν υπάρχει εκμετάλλευση των Achilles στη φύση. Παρόλα αυτά, υπάρχει ένας σημαντικός λόγος να ανησυχείτε. Τα τσιπ Snapdragon ήταν περίπου 40% των τηλεφώνων που πωλήθηκαν το 2019 και είναι παρόντα σε συσκευές βαρέων βαρών όπως η Samsung, η LG και η Xiaomi. Αυτό αφήνει δυνητικά «εκατοντάδες εκατομμύρια» τηλέφωνα εκτεθειμένα, σύμφωνα με τον επικεφαλής της Check Point, Yaniv Balmas, και η διόρθωσή τους θα μπορούσε να είναι δύσκολη ή αδύνατη.
Η ίδια η Qualcomm παρέχει εκτεταμένη υποστήριξη για συσκευές Android, αλλά αυτό δεν επεκτείνεται στους ίδιους τους προμηθευτές. Όπως έχει γίνει πολύ σαφές, οι προμηθευτές Android είναι ιστορικά αργοί να παρέχουν ενημερώσεις και ενδέχεται να διακόψουν την υποστήριξη πολύ νωρίτερα από την Qualcomm. Παρόλο που οι ενημερώσεις κώδικα παραδίδονται μερικές φορές νωρίτερα και πέρα από τα συνηθισμένα προγράμματα υποστήριξης, ενδέχεται να υπάρχουν εκατομμύρια τηλέφωνα που δεν λαμβάνουν διορθώσεις λόγω ηλικίας ή πολιτικών ενημέρωσης προμηθευτών.
Πηγές άρθρου:
Over 400 vulnerabilities on Qualcomm’s Snapdragon chip threaten mobile phones’ usability worldwide. Ανακτήθηκε από: blog.checkpoint.com (Τελευταία πρόσβαση: 24/8/2020)
Scroxton A. (2020), Qualcomm chip vulnerability puts millions of phones at risk. Ανακτήθηκε από: www.computerweekly.com (Τελευταία πρόσβαση: 24/8/2020)
Qualcomm’s Flaws Led to “Achilles’ Heel” in 40% of Android Phones. Ανακτήθηκε από: cisomag.eccouncil.org/ (Τελευταία πρόσβαση: 24/8/2020)
