クアルコムのチップで検出された脆弱性により、40%のスマートフォンが危険にさらされます

QualcommベースのSnapdragonチップDSP(Digital Signal Processor)が見つかりました。攻撃者が40%以上のスマートフォンを制御し、ユーザーを監視し、検出を回避するマルウェアを挿入するために使用できるセキュリティの脆弱性がいくつか見つかりました。

DSPは、TVや携帯電話などの家庭用電化製品の信号およびデジタル画像処理や通信用のオーディオに使用されるシステムオンチップユニットです。これらのチップは任意のデバイスに追加できます。残念ながら、彼らは新しい週のポイントを導入し、デバイスの攻撃面を拡大する可能性があります。

チェック・ポイントの研究者によると、この脆弱なDSPチップは「Google、Samsung、LG、Xiaomi、OnePlusなどのハイエンド携帯電話を含む、地球上のほぼすべてのAndroid携帯電話で見つかります。しかし、AppleのIPhone SmartPhoneラインはセキュリティ問題の影響を受けている、と研究者のレポートは言います。

チェック・ポイントは、調査結果をクアルコムに開示し、Qualcommはそれらを承認してデバイス・ベンダーに通知し、CVE:2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207を含む6つのCVEを割り当てました。 、CVE-2020-11208、およびCVE-2020-11209。研究者によると、この脆弱性により攻撃者は次のことが可能になります。

ユーザーの操作を必要とせずに、電話を完璧なスパイツールに変えます。電話から持ち出すことができる情報には、写真、ビデオ、通話録音、リアルタイムのマイクデータ、GPSおよび位置データなどが含まれます。

携帯電話を常に応答しないようにします。この電話に保存されているすべての情報(写真、ビデオ、連絡先の詳細など)を永久に利用不可能にする、つまり、標的型サービス拒否攻撃

マルウェアやその他の悪意のあるコードを使用すると、活動が完全に隠され、削除できなくなる可能性があります

クアルコムは、DSPチップで見つかった6つのセキュリティ欠陥にパッチを適用しました。ただし、デバイスは依然として攻撃に対して脆弱であるため、脅威が存在します。

研究者らは脆弱性に関する技術情報を公開していません。彼らは調査レポートで、「しかし、私たちはこれらの問題への意識を高めるためにこのブログを公開することを決めました。また、彼らの携帯電話を作るのを支援するために、この調査で協力した関連政府当局者と関連モバイルベンダーを更新しましたより安全。研究の詳細はすべてこれらの利害関係者に明らかにされました。」

クアルコムの広報担当者は、次のように述べています。「堅牢なセキュリティとプライバシーをサポートするテクノロジーを提供することがクアルコムの優先事項です。チェック・ポイントによって明らかにされたクアルコムのコンピューティングDSPの脆弱性に関して、私たちは問題を検証し、OEMが利用できる適切な緩和策を提供するために熱心に取り組みました。現在悪用されている証拠はありません。エンドユーザーには、パッチが利用可能になったらデバイスを更新し、Google Playストアなどの信頼できる場所からのみアプリケーションをインストールすることをお勧めします。」

「クアルコムは問題を修正しましたが、悲しいことに話の終わりではありません。何億もの電話がこのセキュリティリスクにさらされています。あなたはスパイすることができます。すべてのデータが失われる可能性があります。悪意のある攻撃者がこのような脆弱性を発見して使用すると、何百万もの携帯電話ユーザーが発見され、長期間にわたって身を守ることができなくなります。

これらの脆弱性の背後にいる研究者は、チェックポイントセキュリティの研究者であるスラバマッカベエフによってDEF CON 2020で明日発表されます。

「これらのパッチを製造ラインと市場の両方で電話回線全体に統合するかどうかは、Google、Samsung、Xiaomiなどのベンダー次第です。私たちの推定では、すべてのベンダーがパッチをすべての電話に統合するのにはしばらく時間がかかるでしょう。したがって、技術的な詳細を全員に公開することは、これが悪意のある人物に渡るリスクが高いことを考えると、責任のあることだとは感じていません。現時点では、消費者は関連するベンダーが修正を実装するまで待つ必要があります。」