Teie telefon on ehitatud lugematutest osadest ja paljud neist on "nutikad" ning neil on oma sisseehitatud protsessorid ja püsivara. See tähendab, et leidub palju kohti vigadele või haavatavustele, mis võimaldaksid halval näitlejal juurdepääsu asjadele, mida nad ei peaks. Ettevõtted, kes neid osi valmistavad, üritavad selle parandamiseks alati asju paremaks muuta ja kõvaks teha, kuid see on nii neil on võimatu kõike leida enne, kui mõni komponent laborist lahkub ja konveierile jõuab.
Enamik plaastreid on lapitud enne, kui keegi nende olemasolust teada saab, kuid mõned teevad selle läbi.
See muudab nende vigade ja haavatavuste leidmise omaette tööstusharuks. DEFCON 27 ja Black Hat 2019, tohutuid kohti, kus ekspluateerimised avalikustatakse ja demonstreeritakse (ja loodetavasti ka lappitakse), on Qualcommi kiipide haavatavus tuvastatud teatas Tencent Blade Team see võimaldaks ründajal pääseda juurde tuuma kaudu ja sattuda teie telefoni ning kahjustada. Hea uudis on see, et sellest teatati vastutustundlikult ja Qualcomm töötas Google'iga probleemi lahendamiseks
August 2019 Androidi turvabülletään.Verizon pakub Pixel 4a uutele piiramatutele liinidele vaid 10 dollarit kuus
Siin on kõik, mida peate QualPwni kohta teadma.
Mis on QualPwn?
Lisaks naljakale nimele kirjeldab QualPwn Qualcommi kiipide haavatavust, mis võimaldaks ründajal telefoni WLAN-i (traadita kohtvõrk) ja mobiilimodemi kaudu eemalt ohustada. Qualcommi platvormi kaitseb Secure Boot, kuid QualPwn võidab Secure Boot ja annab ründajale juurdepääsu modemile, et silumisvahendeid saaks laadida ja põhiriba kontrollida.
Kui see juhtub, on see nii võimalik ründaja saab ära kasutada tuuma, mida Android töötab, ja saada kõrgemaid privileege - neil on juurdepääs teie isikuandmetele.
Meil pole kõiki üksikasju selle kohta, kuidas see juhtuks või kui lihtne see oleks, kuid need on tulemas Tencent Blade'i must müts 2019 ja DEFCON 27 esitlused.
Mis on WLAN?
WLAN tähistab traadita kohtvõrku ja see on kõikidele seadmetegruppidele, sealhulgas mobiiltelefonidele, kõikehõlmav nimi, mis suhtlevad omavahel juhtmevabalt. WLAN võib kasutada suhtlemiseks WiFi-ühendust, mobiilsidevõrku, lairiba-, Bluetooth- või mõnda muud traadita tüüpi ja see on alati olnud inimeste jaoks, kes otsib ekspluateerimisi.
Kuna nii palju erinevaid seadmetüüpe võib olla osa WLAN-ist, on ühenduse loomiseks ülalpidamisel väga spetsiifilised standardid. Teie telefon, sealhulgas sellised komponendid nagu Qualcommi kiibid, peavad need standardid lisama ja neid järgima. Standardite edenedes ja uue riistvara loomisel võivad ühenduste loomisel esineda vead ja nõrkused.
Kas QualPWN on fikseeritud?
Jah. 2019. aasta augusti Androidi turvabülletään on kogu vajalik kood kahjustatud seadmete lappimiseks Qualcommilt. Kui teie telefon saab 2019. aasta augusti plaastri, olete turvaline.
Milliseid seadmeid see mõjutab?
Tencent Blade Team ei testinud kõiki telefone Qualcommi kiibi abil, lihtsalt Pixel 2 ja Pixel 3. Mõlemad olid haavatavad, nii et kõik Snapdragon 835 ja 845 platvormidel töötavad telefonid on ilmselt mõjutatud. QualPwni lappimiseks kasutatud koodi saab rakendada igale telefonile, millel töötab Qualcommi protsessor ja Android 7.0 või uuem versioon.
Kuni kõigi üksikasjade avaldamiseni on ohutu eeldada, et kõiki tänapäevaseid Snapdragoni kiibikomplekte tuleks kuni lappimiseni ohus pidada.
Kas QualPwni on kasutatud reaalses maailmas?
See ärakasutamine avalikustati Google'ile vastutustundlikult 2019. aasta märtsis ja pärast kinnitamist edastati see Qualcommile. Qualcomm teavitas oma partnereid ja saatis koodi plaasterimiseks välja 2019. aasta juunis ning kõik ahelatükid olid lapitud 2019. aasta augusti Androidi turvabülletäänis kasutatud koodiga.
QualPwni looduses ärakasutamise juhtumeid ei ole teatatud. Qualcomm andis selle teema kohta välja ka järgmise avalduse:
Tugevat turvalisust ja privaatsust toetavate tehnoloogiate pakkumine on Qualcommi prioriteet. Tunnustame Tencenti turvauurijaid tööstusharu standarditega kooskõlastatud avalikustamistavade kasutamise eest meie haavatavuse preemiate programmi kaudu. Qualcomm Technologies on originaalseadmete tootjatele juba parandusi välja andnud ja soovitame lõppkasutajatel oma seadmeid värskendada, kui originaalseadmete tootjad saavad plaastreid.
Mida peaksin tegema, kuni plaaster kätte saab?
Praegu pole tõesti midagi teha. Väljaanded on märgitud kui Kriitiline Google'i ja Qualcommi poolt ning need viidi kiiresti üle, nii et praegu peate ootama, kuni teie telefoni valmistanud ettevõte selle teile kätte saab. Pixeli telefonidel, nagu ka Pixel 2 ja 3, on koos mõnega teistest Essentialist ja OnePlusest plaaster juba saadaval. Teistel Samsungist, Motorolast, LG-st ja teistest võtab telefonidesse jõudmine tõenäoliselt mõne päeva kuni mõne nädala.
Vahepeal järgige samu parimaid tavasid, mida peaksite alati kasutama:
- Kasutage alati tugevat lukustuskuva
- Ärge kunagi järgige linki kelleltki, keda te ei tunne ja usaldate
- Ärge kunagi edastage isiklikke andmeid veebisaitidele või rakendustele, mida te ei usalda
- Ärge kunagi andke oma Google'i parooli kellelegi peale Google'i
- Ärge kunagi kasutage paroole uuesti
- Kasutage alati head paroolihaldurit
- Kasutage kaheastmelist autentimist igal võimalusel
Veel: Androidi parimad paroolihaldurid 2019. aastal
Need tavad ei pruugi takistada sellist laadi ärakasutamist, kuid need võivad leevendada kahju, kui keegi peaks hankima teie isikuandmeid. Ärge tehke seda pahade jaoks lihtsaks.
Lisateavet on tulemas
Nagu mainitud, avaldab Tencent Blade Team kõik üksikasjad QualPwni kohta nii Black Hat 2019 kui ka DEFCON 27 eelseisvate esitluste ajal. Need konverentsid keskenduvad elektrooniliste seadmete turvalisusele ja neid kasutatakse sageli selliste ekspluateerimiste üksikasjalikumaks muutmiseks.
Kui Tencent Blade annab rohkem üksikasju, saame rohkem teada, mida saame oma telefonidega võimalike riskide leevendamiseks teha.
Jerry Hildenbrand
Jerry on Mobile Nationi elanike nohik ja uhke selle üle. Pole midagi, mida ta ei saaks lahti võtta, kuid paljusid asju ei saa ta uuesti kokku panna. Leiate ta kogu mobiilsete riikide võrgustikust ja saate tabas teda Twitteris kui tahad öelda hei.