Váš telefon je vyroben z nesčetných rozmanitých dílů a mnoho z nich je „chytrých“ a má vlastní vestavěné procesory a firmware. To znamená, že existuje spousta míst k nalezení chyb nebo zranitelných míst, která by špatnému herci umožnila přístup k věcem, které by neměla. Společnosti, které tyto součásti vyrábějí, se vždy snaží věci vylepšit a ztvrdnout, aby tomu zabránily, ale je to tak nemožné, aby našli vše, než komponenta opustí laboratoř a skončí na montážní lince.
Většina exploitů je opravena dříve, než někdo ví, že existují, ale někteří to dokážou.
Díky tomu je hledání těchto chyb a zranitelností samo o sobě průmyslovým odvětvím. Na DEFCON 27 a Black Hat 2019, obrovských místech, kde se exploity zveřejňují a předvádějí (a doufejme, že jsou opravené), byla zranitelná čipy Qualcomm oznámil tým Tencent Blade to by útočníkovi umožnilo získat přístup přes jádro a potenciálně se dostat do vašeho telefonu a způsobit újmu. Dobrou zprávou je, že to bylo zodpovědně oznámeno a společnost Qualcomm spolupracovala se společností Google na vyřešení problému s
Srpen 2019 Bulletin zabezpečení Android.Verizon nabízí Pixel 4a za pouhých 10 $ / měsíc na nových linkách Unlimited
Tady je vše, co potřebujete o QualPwn vědět.
Co je QualPwn?
Kromě toho, že je to legrační jméno, QualPwn popisuje zranitelnost čipů Qualcomm, která by útočníkovi umožnila vzdáleně napadnout telefon prostřednictvím WLAN (Wireless Local Area Network) a mobilního modemu. Platforma Qualcomm je chráněna Secure Boot, ale QualPwn poruší Secure Boot a poskytuje útočníkovi přístup k modemu, aby bylo možné načíst ladicí nástroje a ovládat základní pásmo.
Jakmile se to stane, je to tak možný útočník může zneužít jádro, na kterém běží Android, a získat zvýšená oprávnění - může mít přístup k vašim osobním údajům.
Nemáme všechny podrobnosti o tom, jak by se to stalo nebo jak snadné by to bylo, ale ty přicházejí během Black Hat Tencent Blade 2019 a prezentace DEFCON 27.
Co je to WLAN?
WLAN je zkratka pro Wireless Local Area Network a je to univerzální název pro jakoukoli skupinu zařízení - včetně mobilních telefonů -, které mezi sebou bezdrátově komunikují. Síť WLAN může ke komunikaci používat Wi-Fi, mobilní, širokopásmové připojení, Bluetooth nebo jakýkoli jiný bezdrátový typ a vždy to byla novinka pro lidi, kteří hledají exploity.
Protože tolik různých typů zařízení může být součástí WLAN, existují velmi specifické standardy o tom, jak je připojení vytvářeno a udržováno. Váš telefon, včetně komponent, jako jsou čipy Qualcomm, musí tyto standardy začlenit a dodržovat je. Jak postupují standardy a vytváří se nový hardware, mohou nastat chyby a chyby zabezpečení při vytváření připojení.
Byl QualPWN opraven?
Ano. Bulletin zabezpečení Android pro srpen 2019 má veškerý potřebný kód opravovat postižená zařízení od Qualcomm. Jakmile váš telefon získá opravu ze srpna 2019, jste v bezpečí.
Jakých zařízení se to týká?
Tým Tencent Blade netestoval každý telefon pomocí čipu Qualcomm, pouze Pixel 2 a Pixel 3. Oba byly zranitelné, takže všechny telefony běžící na platformách Snapdragon 835 a 845 jsou pravděpodobně ovlivněna minimálně. Kód použitý k opravě QualPwn lze použít na jakýkoli telefon s procesorem Qualcomm a Androidem 7.0 nebo vyšším.
Dokud nebudou vydány všechny podrobnosti, je bezpečné předpokládat, že všechny moderní čipové sady Snapdragon by měly být považovány za rizikové, dokud nebudou opraveny.
Byl QualPwn použit v reálném světě?
Toto zneužití bylo zodpovědně oznámeno společnosti Google v březnu 2019 a po ověření bylo předáno společnosti Qualcomm. Qualcomm informoval své partnery a poslal kód, aby jej opravil v červnu 2019, a každý kousek řetězce byl opraven kódem použitým v srpnovém bulletinu zabezpečení Android 2019.
Nebyly hlášeny žádné případy zneužití QualPwn ve volné přírodě. Qualcomm také vydal následující prohlášení týkající se problému:
Poskytování technologií, které podporují robustní zabezpečení a soukromí, je pro Qualcomm prioritou. Chválíme výzkumníky v oblasti zabezpečení z Tencentu za používání standardních postupů koordinovaného zveřejňování informací prostřednictvím našeho programu odměn za zranitelnost. Společnost Qualcomm Technologies již vydala opravy pro výrobce OEM a doporučujeme koncovým uživatelům, aby aktualizovali svá zařízení, jakmile budou opravy dostupné od výrobců OEM.
Co mám dělat, dokud nedostanu opravu?
Právě teď opravdu nemůžete dělat nic. Problémy byly označeny jako Kritický Google a Qualcomm a byly okamžitě opraveny, takže právě teď musíte počkat, až vám společnost, která váš telefon vyrobila, dostane. Telefony Pixel, jako jsou Pixel 2 a 3, spolu s některými dalšími od Essential a OnePlus již opravu mají k dispozici. Jiným společnostem od společností Samsung, Motorola, LG a dalších bude pravděpodobně trvat několik dní až několika týdnů, než budou přeneseny do telefonů.
Mezitím postupujte podle stejných osvědčených postupů, které byste měli vždy používat:
- Vždy používejte silnou zamykací obrazovku
- Nikdy nesledujte odkaz od někoho, koho neznáte a kterému nedůvěřujete
- Nikdy nezadávejte žádné osobní údaje webům nebo aplikacím, kterým nedůvěřujete
- Nikdy nedávejte své heslo Google nikomu kromě společnosti Google
- Nikdy znovu nepoužívejte hesla
- Vždy používejte dobrého správce hesel
- Kdykoli můžete, použijte dvoufaktorové ověřování
Více: Nejlepší správci hesel pro Android v roce 2019
Tyto postupy nemusí zabránit zneužití této povahy, ale mohou zmírnit škody, pokud by někdo získal několik vašich osobních údajů. Nedělejte to pro zločince snadné.
Další informace přicházejí
Jak již bylo zmíněno, Tencent Blade Team zveřejní všechny podrobnosti o QualPwn během nadcházejících prezentací na Black Hat 2019 a DEFCON 27. Tyto konference jsou zaměřeny na zabezpečení elektronických zařízení a často se používají k podrobnému popisu takovýchto zneužití.
Jakmile Tencent Blade poskytne více podrobností, budeme vědět víc o tom, co můžeme udělat pro zmírnění rizik s našimi vlastními telefony.
Jerry Hildenbrand
Jerry je rezidentem Mobile Nation a je na to hrdý. Neexistuje nic, co by nemohl rozebrat, ale mnoho věcí, které nemůže znovu sestavit. Najdete ho v síti Mobile Nations a můžete zasáhnout ho na Twitteru pokud chcete říct hej.