Logo da.androidermagazine.com
Logo da.androidermagazine.com
» Nyheder
Nyheder

Qualpwn er en ny udnyttelse til qualcomm snapdragon-chips, her er hvad du har brug for at vide

Qualpwn er en ny udnyttelse til qualcomm snapdragon-chips, her er hvad du har brug for at vide

Indholdsfortegnelse:

Anonim

Din telefon er bygget fra et utal af forskellige dele, og mange af dem er "smarte" og har deres egne indbyggede processorer og firmware. Det betyder, at der er masser af steder, hvor der kan findes bugs eller sårbarheder, der giver en dårlig skuespiller mulighed for at få adgang til ting, de ikke burde. Virksomhederne, der fremstiller disse dele, prøver altid at forbedre og hærde ting for at forhindre det, men det er umuligt for dem at finde alt inden en komponent forlader laboratoriet og ender på samlebåndet.

De fleste udnyttelser er lappet, før nogen ved, at de findes, men nogle klarer det.

Dette gør at finde disse bugs og sårbarheder til en industri i sig selv. På DEFCON 27 og Black Hat 2019, enorme spillesteder, hvor udnyttelse offentliggøres og demonstreres (og forhåbentlig patched), er en sårbarhed i Qualcomm-chips annonceret af Tencent Blade Team, der ville give en angriber mulighed for at få adgang gennem kernen og potentielt gå ind i din telefon og forårsage skade. Den gode nyhed er, at det var ansvarligt annonceret, og Qualcomm samarbejdede med Google for at løse problemet med Android Sikkerhedsbulletin for august 2019.

Her er alt hvad du har brug for at vide om QualPwn.

Hvad er QualPwn?

Ud over at være et sjovt navn, beskriver QualPwn en sårbarhed i Qualcomm-chips, der ville give en angriber mulighed for at kompromittere en telefon via WLAN (Wireless Local Area Network) og cellemodem eksternt. Qualcomm-platformen er beskyttet af Secure Boot, men QualPwn besejrer Secure Boot og giver en angriber adgang til modemet, så debugging-værktøjer kan indlæses og baseband kan kontrolleres.

Når det sker, er det muligt, at en hacker kan udnytte den kerne, som Android kører oven på og få forhøjede privilegier - de kan få adgang til dine personlige data.

Vi har ikke alle detaljerne om, hvordan dette ville ske, eller hvor let det ville være, men de kommer under Tencent Blades Black Hat 2019 og DEFCON 27-præsentationer.

Hvad er et WLAN?

WLAN står for Wireless Local Area Network, og det er et alt-navn for enhver gruppe af enheder - inklusive mobiltelefoner - der kommunikerer trådløst. Et WLAN kan bruge Wi-Fi, cellulær, bredbånd, Bluetooth eller enhver anden trådløs type til at kommunikere, og det har altid været en honeypot for folk, der leder efter udnyttelse.

Da så mange forskellige enhedstyper kan være en del af et WLAN, er der meget specifikke standarder for, hvordan en forbindelse oprettes og opretholdes. Din telefon, inklusive komponenter som Qualcomm's chips, skal integrere og følge disse standarder. Når standarderne skrider frem og ny hardware oprettes, kan der opstå fejl og sårbarheder i, hvordan forbindelser oprettes.

Er QualPWN rettet?

Ja. Android-sikkerhedsbulletin for august 2019 har al den nødvendige kode til at lappe berørte enheder fra Qualcomm. Når din telefon får patch i august 2019, er du i sikkerhed.

Hvilke enheder påvirkes?

Tencent Blade Team testede ikke hver telefon ved hjælp af en Qualcomm-chip, bare Pixel 2 og Pixel 3. Begge var sårbare, så alle telefoner, der kører på Snapdragon 835 og 845 platforme, er sandsynligvis påvirket af et minimum. Koden, der bruges til at lappe QualPwn, kan anvendes på enhver telefon, der kører en Qualcomm-processor og Android 7.0 eller nyere.

Indtil alle detaljer er frigivet, er det sikkert at antage, at alle moderne Snapdragon-chipsets skal betragtes som i fare, indtil de er lappet.

Er QualPwn blevet brugt i den virkelige verden?

Denne udnyttelse blev ansvarligt afsløret til Google i marts 2019, og når den først blev verificeret, blev den videresendt til Qualcomm. Qualcomm underrettede sine partnere og sendte koden ud for at lappe den i juni 2019, og hvert stykke af kæden blev lappet med den kode, der blev brugt i August 2019 Android Security Bulletin.

Der er ikke rapporteret om tilfælde af QualPwn, der udnyttes i naturen. Qualcomm udsendte også følgende erklæring om emnet:

Tilvejebringelse af teknologier, der understøtter robust sikkerhed og privatliv, er en prioritet for Qualcomm. Vi roser sikkerhedsforskerne fra Tencent for at bruge industristandard koordineret afsløringspraksis gennem vores Vulnerability Rewards-program. Qualcomm Technologies har allerede udstedt rettelser til OEM'er, og vi opfordrer slutbrugere til at opdatere deres enheder, når patches bliver tilgængelige fra OEMs.

Hvad skal jeg gøre, indtil jeg får plasteret?

Der er virkelig ikke noget, du kan gøre lige nu. Problemerne er blevet markeret som kritiske af Google og Qualcomm og blev straks rettet, så lige nu er du nødt til at vente på det firma, der har oprettet din telefon, for at få det til dig. Pixel-telefoner, som Pixel 2 og 3, sammen med nogle andre fra Essential og OnePlus, har allerede patch'en tilgængelig. Andre fra Samsung, Motorola, LG og andre vil sandsynligvis tage et par dage til et par uger at blive skubbet til telefoner.

I mellemtiden skal du følge de samme bedste fremgangsmåder, som du altid skal bruge:

  • Brug altid en stærk låseskærm
  • Følg aldrig et link fra nogen, du ikke kender og har tillid til
  • Indsend aldrig personlige oplysninger til websteder eller apps, som du ikke har tillid til
  • Giv aldrig din Google-adgangskode til nogen udover Google
  • Brug aldrig adgangskoder igen
  • Brug altid en god adgangskodemanager
  • Brug tofaktorautentifikation, når du kan

Mere: Bedste adgangskodeadministratorer til Android i 2019

Denne praksis forhindrer muligvis ikke en udnyttelse af denne art, men de kan afbøde skaden, hvis nogen skulle få et par af dine personlige oplysninger. Gør det ikke let for de onde.

Mere information kommer

Som nævnt vil Tencent Blade Team frigive alle detaljer om QualPwn under kommende præsentationer på både Black Hat 2019 og DEFCON 27. Disse konferencer er centreret omkring elektronisk enhedssikkerhed og bruges ofte til detaljerede udnyttelser som dette.

Når Tencent Blade giver flere detaljer, vil vi vide mere om, hvad vi kan gøre for at afbøde risici med vores egne telefoner.

Få mere Pixel 3

Google Pixel 3

  • Google Pixel 3 og 3 XL anmeldelse
  • Bedste Pixel 3-sager
  • Bedste Pixel 3 XL tilfælde
  • Bedste Pixel 3 skærmbeskyttere
  • Bedste Pixel 3 XL skærmbeskyttere

Vi tjener muligvis en provision for køb ved hjælp af vores links. Lær mere.

Nyheder

Valg af editor