Недолік «Ахілла» виявляє мільярд телефонів Android

Один мільярд телефонів Android загрожує атаками хакерів, скориставшись тим, про що говорить дослідницька фірма, — 400 вразливостей виявлено на мікросхемах смартфона.

У сукупності під назвою "Ахілл", вразливості були виявлені на ділянках коду, знайдених у мікросхемах Snapdragon Qualcomm, які є майже на половині всіх телефонів Android.

Виступаючи на конференції з безпеки в безпечному режимі DEF CON в п'ятницю, дослідники фірми з безпеки компанії Check Point сказали, що телефони можуть бути перетворені на шпигунські інструменти, що забезпечують доступ до фотографій, відео, даних про місцезнаходження та інших важливих даних користувачів. Хакеру потрібно лише успішно переконати користувача встановити, здавалося б, доброякісну програму, яка не потребує дозволів для роботи.

Хакери можуть шпигувати за телефонними розмовами, запускати атаки відмови у наданні послуг або навмисно встановлювати шкідливий код.

"Ви можете бути шпигунними. Ви можете втратити всі свої дані", — сказав Янів Бальмас, керівник кібер-досліджень з Check Point. "Якщо такі вразливості знайдуть і використають шкідливі суб'єкти, вони знайдуть мільйони користувачів мобільних телефонів, які майже не можуть захистити себе дуже довго".

Check Point поширила деталі своїх висновків Qualcomm та постраждалих від продавців телефонів. Він не публікував деталі публічно, щоб не забезпечити хакерів жодних переваг.

Qualcomm заявив, що це усунення вразливих місць; випуск нового компілятора та нового набору програмного забезпечення. Але від продавців телефонів слід розповсюджувати патчі для кожного модельного телефону, який несе зачеплений процесор.

"Для постачальників це означає, що їм потрібно буде перекомпілювати кожне програмне забезпечення DSP, яке вони використовують, протестувати їх та виправити будь-які проблеми, які можуть виникнути", — сказав Бальмас. "Тоді їм потрібно доставити ці виправлення на всі пристрої на ринку."

Набори мікросхем Snapdragon були важливою складовою смартфонів, носячих пристроїв та автомобільних систем. Він охоплює свої показники швидкості та продуктивності, енергоефективності, підтримки 5G, керування графікою та вбудованої здатністю зчитування відбитків пальців.

Цифрові сигнальні процесори не приваблюють дослідників такого ж ступеня, як можливі недоліки, ніж інші компоненти комп'ютерів, оскільки технічні характеристики виробники, як правило, ретельно охороняють.

"Хоча мікросхеми DSP пропонують відносно економічне рішення, яке дозволяє мобільним телефонам надавати кінцевим користувачам більше функціональності та забезпечувати інноваційні функції, вони дійсно коштують", — констатують дослідники з Check Point у звіті, розміщеному в Інтернеті. "Ці мікросхеми представляють нові поверхні атаки та слабкі місця для цих мобільних пристроїв. Чіпи DSP набагато більш вразливі до ризиків, оскільки ними керують як" Чорні скриньки ", оскільки це може бути дуже складним для перегляду їх дизайну будь-хто, крім їх виробника, функціональність або код. "

"Нашим дослідженням вдалося подолати ці межі, і нам вдалося досить уважно ознайомитися з внутрішнім дизайном та реалізацією мікросхеми порівняно зручним способом. Оскільки такі дослідження дуже рідкісні, це може пояснити, чому ми знайшли стільки вразливих розділів коду, — сказав Бальмас.

Продукти з системою Snapdragon на мікросхемі можна знайти на провідних телефонах Google, Samsung, Xiaomi, LG та OnePlus. Apple надає власні процесори, тому на айфони не впливає Ахілл.

Qualcomm заявив, що не має доказів, що вразливості "зараз експлуатуються", але закликав клієнтів "оновити свої пристрої, коли патчі стануть доступними та встановити лише додатки з надійних місць, наприклад, Google Play Store".

Facebook Comments