Logo sk.androidermagazine.com
Logo sk.androidermagazine.com
» Správy
Správy

Qualpwn je nové využitie kvalitných čipov snapdragon, tu je to, čo potrebujete vedieť

Qualpwn je nové využitie kvalitných čipov snapdragon, tu je to, čo potrebujete vedieť

Obsah:

Anonim

Váš telefón je vyrobený z nespočetného množstva najrôznejších častí a mnohé z nich sú „inteligentné“ a majú vlastné vstavané procesory a firmvér. To znamená, že existuje veľa miest na nájdenie chýb alebo slabých miest, ktoré by zlému hercovi umožnili prístup k veciam, ktoré by nemali. Spoločnosti, ktoré vyrábajú tieto súčasti, sa vždy snažia vylepšiť a spevniť veci, aby tomu zabránili, ale je nemožné, aby našli všetko skôr, ako komponent opustí laboratórium a skončí na montážnej linke.

Väčšina zneužívaní je oprava skôr, ako niekto vie, že existujú, ale niektorí ich prekonajú.

Vďaka tomu je nájdenie týchto chýb a slabých miest odvetvím samým o sebe. V DEFCON 27 a Black Hat 2019, obrovských miestach, kde sú zverejňované exploity (a dúfajme, opravené), tím Tencent Blade oznámil zraniteľnosť v čipoch Qualcomm, ktorá by útočníkovi umožnila získať prístup cez jadro a potenciálne dostať sa do telefónu a spôsobiť škodu. Dobrou správou je, že bola zodpovedne oznámená a spoločnosť Qualcomm spolupracovala so spoločnosťou Google na odstránení problému v auguste 2019 Bulletin zabezpečenia systému Android.

Tu je všetko, čo potrebujete vedieť o QualPwn.

Čo je QualPwn?

Okrem toho, že je to vtipné meno, QualPwn popisuje zraniteľnosť v čipoch Qualcomm, ktorá by útočníkovi umožnila vzdialene napadnúť telefón prostredníctvom siete WLAN (Wireless Local Area Network) a celulárneho modemu. Platforma Qualcomm je chránená technológiou Secure Boot, ale QualPwn porazí Secure Boot a poskytuje útočníkovi prístup k modemu, aby bolo možné načítať ladiace nástroje a ovládať základné pásmo.

Akonáhle sa to stane, je možné, že útočník môže využiť jadro, na ktorom beží Android na vrchole a získať zvýšené privilégiá - môže mať prístup k vašim osobným údajom.

Nemáme všetky podrobnosti o tom, ako by sa to stalo alebo aké by to bolo ľahké, ale tie prichádzajú počas prezentácií spoločnosti Tencent Blade Black Hat 2019 a DEFCON 27.

Čo je to WLAN?

WLAN je skratka pre Wireless Local Area Network a je to úplný názov pre akúkoľvek skupinu zariadení - vrátane mobilných telefónov - ktoré spolu komunikujú bezdrôtovo. WLAN môže na komunikáciu používať Wi-Fi, mobilné, širokopásmové pripojenie, Bluetooth alebo akýkoľvek iný typ bezdrôtovej komunikácie a vždy to bola honeypot pre ľudí, ktorí hľadajú využitie.

Pretože toľko WLAN rôznych typov môže byť súčasťou WLAN, existujú veľmi špecifické štandardy o tom, ako sa vytvára pripojenie udržiavané. Váš telefón vrátane komponentov, ako sú čipy Qualcomm, musia tieto štandardy obsahovať a dodržiavať. S postupujúcim vývojom štandardov a vytváraním nového hardvéru sa môžu vyskytnúť chyby a zraniteľné miesta v spôsobe vytvárania spojení.

Bol QualPWN opravený?

Áno. Bulletin zabezpečenia systému Android pre august 2019 obsahuje všetky kódy potrebné na opravu postihnutých zariadení od spoločnosti Qualcomm. Keď váš telefón získa náplasť z augusta 2019, ste v bezpečí.

Ktoré zariadenia sú ovplyvnené?

Tím Tencent Blade netestoval každý telefón pomocou čipu Qualcomm, iba Pixel 2 a Pixel 3. Oba boli zraniteľné, takže všetky telefóny bežiace na platformách Snapdragon 835 a 845 sú pravdepodobne ovplyvnené minimálne. Kód používaný na opravu QualPwn sa dá použiť na akýkoľvek telefón s procesorom Qualcomm a systémom Android 7.0 alebo vyšším.

Kým nebudú zverejnené všetky podrobnosti, je možné predpokladať, že všetky moderné čipové sady Snapdragon by sa mali považovať za ohrozené, kým sa neopravia.

Bol QualPwn použitý v reálnom svete?

Toto využitie bolo spoločnosti Google zodpovedne oznámené v marci 2019 a po overení bolo postúpené spoločnosti Qualcomm. Spoločnosť Qualcomm informovala svojich partnerov a v júni 2019 poslala tento kód, aby ho opravila. Každá časť reťazca bola opravená kódom použitým v auguste 2019 Bulletin zabezpečenia systému Android.

Neboli hlásené žiadne prípady využívania QualPwn vo voľnej prírode. Spoločnosť Qualcomm tiež vydala toto vyhlásenie týkajúce sa tejto otázky:

Poskytovanie technológií, ktoré podporujú robustnú bezpečnosť a ochranu osobných údajov, je pre spoločnosť Qualcomm prioritou. Chválime výskumných pracovníkov v oblasti bezpečnosti od spoločnosti Tencent za používanie postupov štandardného koordinovaného zverejňovania informácií prostredníctvom nášho Programu odmeňovania zraniteľnosti. Spoločnosť Qualcomm Technologies už vydala opravy pre výrobcov zariadení OEM a odporúčame koncovým používateľom aktualizovať svoje zariadenia, keď budú opravy dostupné od výrobcov zariadení OEM.

Čo mám robiť, až kým nedostanem náplasť?

Momentálne nie je nič, čo by ste mohli urobiť. Spoločnosti Google a Qualcomm tieto problémy označili ako kritické a boli okamžite napravené, takže teraz musíte počkať, kým sa k vám spoločnosť, ktorá vytvorila váš telefón, dostane. Telefóny Pixel, ako napríklad Pixel 2 a 3, spolu s niektorými ďalšími spoločnosťami Essential a OnePlus už majú túto opravu k dispozícii. Iné spoločnosti Samsung, Motorola, LG a ďalšie budú pravdepodobne trvať niekoľko dní až niekoľko týždňov, kým budú tlačené do telefónov.

Medzitým postupujte podľa rovnakých osvedčených postupov, aké by ste mali vždy používať:

  • Vždy používajte silnú uzamknutú obrazovku
  • Nikdy nesledujte odkaz od niekoho, koho nepoznáte a ktorému neveríte
  • Na webové stránky alebo aplikácie, ktorým neveríte, nikdy neodosielajte žiadne osobné údaje
  • Nikdy nedávajte svoje heslo Google nikomu okrem spoločnosti Google
  • Nikdy znova nepoužívajte heslá
  • Vždy používajte správcu hesiel
  • Vždy, keď je to možné, používajte dvojfaktorové overenie

Viac: Najlepšie správcovia hesiel pre Android v roku 2019

Tieto praktiky nemusia brániť zneužitiu tohto charakteru, ale môžu zmierniť škodu, ak niekto získa nejaké vaše osobné údaje. Nerobte to pre zlých.

Viac informácií prichádza

Ako už bolo spomenuté, tím Tencent Blade zverejní všetky podrobnosti o QualPwn počas nadchádzajúcich prezentácií na Black Hat 2019 a DEFCON 27. Tieto konferencie sa zameriavajú na bezpečnosť elektronických zariadení a často sa používajú na podrobnejšie informácie o takýchto zneužitiach.

Keď spoločnosť Tencent Blade poskytne ďalšie podrobnosti, budeme vedieť viac o tom, čo môžeme urobiť, aby sme zmiernili riziká pomocou vlastných telefónov.

Získajte viac pixelov 3

Google Pixel 3

  • Recenzia Google Pixel 3 a 3 XL
  • Najlepšie prípady Pixel 3
  • Najlepšie prípady Pixel 3 XL
  • Najlepšie chrániče obrazovky Pixel 3
  • Najlepšie chrániče obrazovky Pixel 3 XL

Môžeme získať províziu za nákupy pomocou našich odkazov. Uč sa viac.

Správy

Voľba editora