Check Point Research: a Qualcomm Snapdragon chipjének több mint 400 sebezhetősége fenyegetés a mobiltelefonhasználatra világszerte

A Check Point Research az "Achilles" nevet adta annak a kutatásának, amelynek során a Qualcomm Technologies Digital Signal Processor (DSP) chipjét vetette alapos biztonsági tesztelés alá. A tesztelés során több mint 400 sebezhetőségre bukkantak.

A Checkpoint a sebezhetőségek részleteit jelentette a Qualcomm-nak, ami megerősítette azokat, értesítette az érintett készülékgyártókat és CVE azonosítókat rendeltetett hozzájuk. Az azonosítók: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 és CVE-2020-11209.

A Check Point Research úgy döntött, hogy nem hozza nyilvánosságra a sebezhetőséget teljes technikai leírásait addig, amíg a mobiltelefon-gyártók azok kezelésére megfelelő, átfogó intézkedéseket nem hoznak.

Addig is, hogy felhívják a figyelmet ezekre a biztonsági hibákra, egy blogbejegyzést publikáltak róla.

Hozzászólások

Mondanam, hogy meglepo ... de igazabol nem lepodtem meg.

Regi igazsag, hogy egy profit orientalt vallalat termekenek csak annyira kell jonak lennie, hogy megvegyek. Hogy mit csinalnak vele, hogy milyen gondot okoz barki masnak, hogy mikor kerul a kukaba az tokmindegy.

Illetve nem teljesen mindegy, mert ha tul jo, az uzletileg rossz, mert nehezebb lesz eladni a termek kovetkezo generaciojat.

Szerkesztve: 2020. 08. 09., v – 14:58

Azért kíváncsi lennék, hogy ennek mekkora része ered közvetlenül az ARM-tól... én ezt úgy képzelném, hogy a Qualcomm megveszi komponensek terveit és azokat leírás szerint összekötögeti egy programban... ahogy kb a számítógép gyártók megveszik a BIOS-t valahonnan, max picit felparaméterezik, lecserélik a boot logót, de komolyabb mókolás nélkül adják tovább.

Szerkesztve: 2020. 08. 10., h – 07:51

DSP -vel beszelo code nagy resze az ami soha nem frissul egy androidon..
Ill. gyartotol sem toltheto le, a teloval erkezik csak ,
ha custom romot foznel ez is azon binarisok kozott van amit csak copizol
az eredetirol.

 

Meg opencl -t sem lehet letolteni a gyartotol, nem hogy
dsp -vel kapcsolatos dolgot ..

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Szerkesztve: 2020. 08. 10., h – 08:02

- Hogyhogy nem rendelt hozza...megteheti?

400 darab az elég érdekes, de mivel DPS-ről van szó, esélyes lehet, hogy nagyjából minden támogatott adat típust rosszul kezel és a leírás szerint igen komoly mértékben törhetőek az adott rendszerek.