Erkannte Sicherheitslücken im Qualcomm-Chip gefährden 40% SmartPhone
Es wurde festgestellt, dass auf Qualcomm basierende Snapdragon-Chip-DSP (Digital Signal Processor) mehrere Sicherheitslücken aufweisen, mit denen Angreifer über 40% SmartPhones kontrollieren, ihre Benutzer überwachen und Malware injizieren können, die sich der Erkennung entzieht.
DSPs sind System-on-Chip-Einheiten, die für Audio für die Signal- und digitale Bildverarbeitung und Telekommunikation in der Unterhaltungselektronik einschließlich Fernsehgeräten und Mobiltelefonen verwendet werden. Diese Chips können jedem Gerät hinzugefügt werden. Leider können sie neue Wochenpunkte einführen und die Angriffsfläche der Geräte erweitern.
Laut Check Point-Forschern sind die anfälligen DSP-Chips “in fast jedem Android-Handy der Welt zu finden, einschließlich High-End-Handys von Google, Samsung, LG, Xiaomi, OnePlus und anderen. Die IPhone SmartPhone-Linie von Apple ist dies jedoch nicht Betroffen von den Sicherheitsproblemen, heißt es in dem Bericht der Forscher.
Der Check Point gab ihre Ergebnisse an Qualcomm weiter, die sie anerkannten und die Gerätehersteller benachrichtigten, und wies ihnen sechs CVEs zu, darunter: CVEs: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207 , CVE-2020-11208 und CVE-2020-11209. Laut den Forschern ermöglichen die Sicherheitslücken den Angreifern:
Verwandeln Sie das Telefon in ein perfektes Spionagewerkzeug, ohne dass eine Benutzerinteraktion erforderlich ist. Zu den Informationen, die vom Telefon abgefiltert werden können, gehören Fotos, Videos, Anrufaufzeichnung, Echtzeit-Mikrofondaten, GPS- und Standortdaten usw.
Das Mobiltelefon reagiert ständig nicht mehr. Wenn alle auf diesem Telefon gespeicherten Informationen dauerhaft nicht verfügbar sind – einschließlich Fotos, Videos, Kontaktdaten usw. -, kann dies zu einem gezielten Denial-of-Service-Angriff führen.
Die Verwendung von Malware und anderem schädlichen Code kann ihre Aktivitäten vollständig verbergen und nicht mehr entfernt werden können
Qualcomm hat die sechs Sicherheitslücken auf dem DSP-Chip behoben. Es besteht jedoch eine Bedrohung, da die Geräte immer noch anfällig für Angriffe sind.
Die Forscher haben keine technischen Informationen zu den Sicherheitslücken veröffentlicht. Sie sagten im Forschungsbericht: “Wir haben uns jedoch entschlossen, diesen Blog zu veröffentlichen, um das Bewusstsein für diese Probleme zu schärfen. Wir haben auch relevante Regierungsbeamte und relevante Mobilfunkanbieter, mit denen wir bei dieser Forschung zusammengearbeitet haben, aktualisiert, um sie bei der Herstellung ihrer Mobiltelefone zu unterstützen sicherer. Die vollständigen Forschungsdetails wurden diesen Stakeholdern mitgeteilt. “
Der Sprecher von Qualcomm sagte: „Die Bereitstellung von Technologien, die robuste Sicherheit und Datenschutz unterstützen, hat für Qualcomm Priorität. In Bezug auf die von Check Point offenbarte Sicherheitsanfälligkeit in Bezug auf Qualcomm Compute DSP haben wir sorgfältig daran gearbeitet, das Problem zu validieren und OEMs geeignete Schadensbegrenzungen zur Verfügung zu stellen. Wir haben keine Beweise dafür, dass es derzeit ausgenutzt wird. Wir empfehlen Endbenutzern, ihre Geräte zu aktualisieren, sobald Patches verfügbar sind, und nur Anwendungen von vertrauenswürdigen Standorten wie dem Google Play Store zu installieren. “
“Obwohl Qualcomm das Problem behoben hat, ist es leider nicht das Ende der Geschichte. Hunderte Millionen Telefone sind diesem Sicherheitsrisiko ausgesetzt. Sie können ausspioniert werden. Sie können alle Ihre Daten verlieren. Wenn solche Sicherheitslücken von böswilligen Akteuren gefunden und genutzt werden, werden Millionen von Mobiltelefonbenutzern gefunden, die sich für eine sehr lange Zeit kaum schützen können “, sagte der Leiter der Cyberforschung am Check Point, Yaniv Balmas.
Die Forscher hinter diesen Sicherheitslücken werden morgen auf der DEF CON 2020 von Slava Makkaveev, Sicherheitsforscherin bei Check Point, vorgestellt.
„Es liegt nun an den Anbietern wie Google, Samsung und Xiaomi, diese Patches sowohl in der Fertigung als auch auf dem Markt in ihre gesamten Telefonleitungen zu integrieren. Nach unseren Schätzungen wird es eine Weile dauern, bis alle Anbieter die Patches in alle ihre Telefone integriert haben. Wir sind daher nicht der Meinung, dass die Veröffentlichung der technischen Details bei jedem die verantwortliche Aufgabe ist, da das Risiko hoch ist, dass dies in die falschen Hände gerät. Vorerst müssen Verbraucher darauf warten, dass die relevanten Anbieter auch Korrekturen implementieren. “