Din telefon er bygget fra et utal af forskellige dele, og mange af dem er "smarte" og har deres egne indbyggede processorer og firmware. Det betyder, at der er masser af steder for fejl eller sårbarheder, der gør det muligt for en dårlig skuespiller at have adgang til ting, de ikke burde. Virksomhederne, der fremstiller disse dele, prøver altid at forbedre og hærde ting for at forhindre det, men det er det umuligt for dem at finde alt, inden en komponent forlader laboratoriet og ender på samlebåndet.
De fleste bedrifter bliver lappet, før nogen ved, at de eksisterer, men nogle klarer det.
Dette gør at finde disse bugs og sårbarheder til en industri i sig selv. På DEFCON 27 og Black Hat 2019 har enorme spillesteder, hvor udnyttelser offentliggøres og demonstreret (og forhåbentlig patchet), været en sårbarhed i Qualcomm-chips annonceret af Tencent Blade Team der gør det muligt for en hacker at få adgang gennem kernen og potentielt komme ind på din telefon og forårsage skade. Den gode nyhed er, at det blev annonceret ansvarligt, og Qualcomm arbejdede sammen med Google for at løse problemet med
August 2019 Android-sikkerhedsbulletin.Verizon tilbyder Pixel 4a for kun $ 10 / mo på nye ubegrænsede linjer
Her er alt hvad du behøver at vide om QualPwn.
Hvad er QualPwn?
Udover at være et sjovt navn, beskriver QualPwn en sårbarhed i Qualcomm-chips, der gør det muligt for en hacker at kompromittere en telefon via WLAN (Wireless Local Area Network) og cellemodem eksternt. Qualcomm-platformen er beskyttet af Secure Boot, men QualPwn besejrer Secure Boot og giver en angriber adgang til modemet, så fejlretningsværktøjer kan indlæses og basisbåndet kan styres.
Når det sker, er det muligt en hacker kan udnytte kernen, som Android kører oven på, og få forhøjede privilegier - de kan have adgang til dine personlige data.
Vi har ikke alle detaljer om, hvordan dette ville ske, eller hvor let det ville være, men de kommer i løbet af Tencent Blades Black Hat 2019 og DEFCON 27 præsentationer.
Hvad er et WLAN?
WLAN står for Wireless Local Area Network, og det er et navn på alle enheder - inklusive mobiltelefoner - der kommunikerer trådløst med hinanden. Et WLAN kan bruge Wi-Fi, mobil, bredbånd, Bluetooth eller en hvilken som helst anden trådløs type til at kommunikere, og det har altid været en honeypot for folk, der leder efter bedrifter.
Fordi så mange forskellige enhedstyper kan være en del af et WLAN, er der meget specifikke standarder for, hvordan en forbindelse oprettes og vedligeholdes. Din telefon, herunder komponenter som Qualcomms chips, skal integrere og følge disse standarder. Efterhånden som standarder skrider frem, og ny hardware oprettes, kan der opstå fejl og sårbarheder i, hvordan forbindelser oprettes.
Er QualPWN rettet?
Ja. Android-sikkerhedsbulletin for august 2019 har al den nødvendige kode at lappe berørte enheder fra Qualcomm. Når din telefon får opdateringen fra august 2019, er du sikker.
Hvilke enheder er berørt?
Tencent Blade Team testede ikke hver telefon ved hjælp af en Qualcomm-chip, bare den Pixel 2 og Pixel 3. Begge var sårbare, så alle telefoner, der kører på Snapdragon 835- og 845-platformene, er det sandsynligvis påvirkes i det mindste. Koden, der bruges til patch til QualPwn, kan anvendes på enhver telefon, der kører en Qualcomm-processor og Android 7.0 eller nyere.
Indtil alle detaljer frigives, er det sikkert at antage, at alle moderne Snapdragon-chipsæt skal betragtes i fare indtil de er patched.
Er QualPwn blevet brugt i den virkelige verden?
Denne udnyttelse blev ansvarligt videregivet til Google i marts 2019, og en gang bekræftet, blev den videresendt til Qualcomm. Qualcomm underrettede sine partnere og sendte koden ud for at lappe den i juni 2019, og hvert stykke af kæden blev patchet med den kode, der blev brugt i Android-sikkerhedsbulletin fra august 2019.
Ingen tilfælde af udnyttelse af QualPwn i naturen er rapporteret. Qualcomm udsendte også følgende erklæring vedrørende problemet:
At levere teknologier, der understøtter robust sikkerhed og privatliv, er en prioritet for Qualcomm. Vi roser sikkerhedsforskerne fra Tencent for at have brugt industristandard koordineret offentliggørelsespraksis gennem vores sårbarhedsbelønningsprogram. Qualcomm Technologies har allerede udstedt rettelser til OEM'er, og vi opfordrer slutbrugere til at opdatere deres enheder, når patches bliver tilgængelige fra OEM'er.
Hvad skal jeg gøre, indtil jeg får plasteret?
Der er virkelig ikke noget, du kan gøre lige nu. Problemer er blevet markeret som Kritisk af Google og Qualcomm og blev straks patchet, så lige nu skal du vente på, at det firma, der lavede din telefon, får den til dig. Pixel-telefoner, som Pixel 2 og 3, sammen med nogle andre fra Essential og OnePlus, har allerede patch'en tilgængelig. Andre fra Samsung, Motorola, LG og andre vil sandsynligvis tage et par dage til et par uger at blive skubbet til telefoner.
I mellemtiden skal du følge de samme bedste fremgangsmåder, som du altid skal bruge:
- Brug altid en stærk låseskærm
- Følg aldrig et link fra nogen, du ikke kender og stoler på
- Indsend aldrig personlige oplysninger til websteder eller apps, som du ikke har tillid til
- Giv aldrig din Google-adgangskode til nogen ud over Google
- Genbrug aldrig adgangskoder
- Brug altid en god adgangskodeadministrator
- Brug tofaktorautentificering, når du kan
Mere: Bedste adgangskodeadministratorer til Android i 2019
Disse fremgangsmåder forhindrer muligvis ikke en udnyttelse af denne art, men de kan mildne skaden, hvis nogen skulle få et par af dine personlige oplysninger. Gør det ikke let for de onde.
Flere oplysninger kommer
Som nævnt frigiver Tencent Blade Team alle detaljer om QualPwn under kommende præsentationer på både Black Hat 2019 og DEFCON 27. Disse konferencer er centreret om elektronisk enheds sikkerhed og bruges ofte til detaljerede udnyttelser som denne.
Når Tencent Blade giver flere detaljer, ved vi mere om, hvad vi kan gøre for at mindske eventuelle risici med vores egne telefoner.
Jerry Hildenbrand
Jerry er Mobile Nation's bosiddende nørd og stolt af det. Der er ikke noget, han ikke kan tage fra hinanden, men mange ting, som han ikke kan samle igen. Du finder ham på tværs af Mobile Nations-netværket, og du kan slå ham op på Twitter hvis du vil sige hej.