Uw telefoon is opgebouwd uit een groot aantal verschillende onderdelen, en veel daarvan zijn "slim" en hebben hun eigen ingebouwde processors en firmware. Dat betekent dat er tal van plaatsen zijn waar bugs of kwetsbaarheden kunnen worden gevonden waardoor een slechte actor toegang krijgt tot dingen die hij niet zou moeten doen. De bedrijven die deze onderdelen maken, proberen altijd dingen te verbeteren en te verharden om dit te voorkomen, maar het is onmogelijk voor hen om alles te vinden voordat een onderdeel het lab verlaat en op de lopende band belandt.
De meeste exploits worden gepatcht voordat iemand weet dat ze bestaan, maar sommige slagen erdoor.
Dit maakt het vinden van deze bugs en kwetsbaarheden een branche op zich. Op DEFCON 27 en Black Hat 2019, enorme locaties waar exploits openbaar worden gemaakt en gedemonstreerd (en hopelijk gepatcht), is een kwetsbaarheid in Qualcomm-chips aangekondigd door het Tencent Blade Team waarmee een aanvaller toegang kan krijgen via de kernel en mogelijk in uw telefoon kan komen en schade kan veroorzaken. Het goede nieuws is dat het op verantwoorde wijze is aangekondigd en dat Qualcomm met Google heeft samengewerkt om het probleem met de
Android-beveiligingsbulletin van augustus 2019.Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe Unlimited-lijnen
Hier is alles wat u moet weten over QualPwn.
Wat is QualPwn?
Behalve dat het een grappige naam is, beschrijft QualPwn een kwetsbaarheid in Qualcomm-chips waardoor een aanvaller op afstand een telefoon kan binnendringen via het WLAN (Wireless Local Area Network) en de mobiele modem. Het Qualcomm-platform wordt beschermd door Secure Boot, maar QualPwn verslaat Secure Boot en geeft een aanvaller toegang tot de modem zodat debugging-tools kunnen worden geladen en de basisband kan worden gecontroleerd.
Als dat eenmaal gebeurt, is het mogelijk een aanvaller kan misbruik maken van de kernel waarop Android draait en verhoogde rechten krijgen - ze kunnen toegang hebben tot uw persoonlijke gegevens.
We hebben niet alle details over hoe dit zou gebeuren of hoe gemakkelijk het zou zijn, maar die komen eraan Tencent Blade's Black Hat 2019 en DEFCON 27 presentaties.
Wat is een WLAN?
WLAN staat voor Wireless Local Area Network en het is een verzamelnaam voor elke groep apparaten - inclusief mobiele telefoons - die draadloos met elkaar communiceren. Een WLAN kan Wi-Fi, mobiel, breedband, Bluetooth of elk ander draadloos type gebruiken om te communiceren en het is altijd een honeypot geweest voor mensen die op zoek waren naar exploits.
Omdat er zoveel verschillende apparaattypen deel kunnen uitmaken van een WLAN, zijn er zeer specifieke standaarden over hoe een verbinding tot stand wordt gebracht en onderhouden. Uw telefoon, inclusief componenten zoals de chips van Qualcomm, moeten deze normen bevatten en volgen. Naarmate standaarden vorderen en nieuwe hardware wordt gemaakt, kunnen bugs en kwetsbaarheden optreden in de manier waarop verbindingen worden gemaakt.
Is QualPWN opgelost?
Ja. Het Android-beveiligingsbulletin voor augustus 2019 heeft alle benodigde code om getroffen apparaten van Qualcomm te patchen. Zodra je telefoon de patch van augustus 2019 heeft gekregen, ben je veilig.
Welke apparaten zijn getroffen?
Het Tencent Blade-team heeft niet elke telefoon getest met een Qualcomm-chip, alleen de Pixel 2 en Pixel 3. Beiden waren kwetsbaar, dus alle telefoons die op de Snapdragon 835- en 845-platforms draaien zijn waarschijnlijk minimaal beïnvloed. De code die wordt gebruikt om QualPwn te patchen, kan worden toegepast op elke telefoon met een Qualcomm-processor en Android 7.0 of hoger.
Totdat alle details zijn vrijgegeven, is het veilig om aan te nemen dat alle moderne Snapdragon-chipsets als risico moeten worden beschouwd totdat ze zijn gepatcht.
Is QualPwn in de echte wereld gebruikt?
Deze exploit is in maart 2019 op verantwoorde wijze aan Google bekendgemaakt en na verificatie doorgestuurd naar Qualcomm. Qualcomm meldde haar partners en stuurde de code om het te patchen in juni 2019, en elk onderdeel van de ketting werd gepatcht met de code die wordt gebruikt in het Android-beveiligingsbulletin van augustus 2019.
Er zijn geen gevallen gemeld waarin QualPwn in het wild wordt uitgebuit. Qualcomm heeft ook de volgende verklaring afgegeven met betrekking tot het probleem:
Het aanbieden van technologieën die robuuste beveiliging en privacy ondersteunen, is een prioriteit voor Qualcomm. We prijzen de beveiligingsonderzoekers van Tencent voor het gebruik van industriestandaard gecoördineerde openbaarmakingspraktijken via ons Vulnerability Rewards-programma. Qualcomm Technologies heeft al fixes uitgegeven aan OEM's en we moedigen eindgebruikers aan om hun apparaten bij te werken zodra er patches beschikbaar komen van OEM's.
Wat moet ik doen totdat ik de patch heb?
Er is nu echt niets dat u kunt doen. De problemen zijn gemarkeerd als Kritisch door Google en Qualcomm en werden onmiddellijk gepatcht, dus nu moet je wachten tot het bedrijf dat je telefoon heeft gemaakt, deze bij je heeft. Op Pixel-telefoons, zoals de Pixel 2 en 3, en enkele andere van Essential en OnePlus, is de patch al beschikbaar. Anderen van Samsung, Motorola, LG en anderen zullen waarschijnlijk een paar dagen tot een paar weken nodig hebben om naar telefoons te worden gepusht.
Volg in de tussentijd dezelfde best practices die u altijd zou moeten gebruiken:
- Gebruik altijd een sterk vergrendelingsscherm
- Volg nooit een link van iemand die u niet kent en vertrouwt
- Geef nooit persoonlijke gegevens door aan websites of apps die u niet vertrouwt
- Geef uw Google-wachtwoord nooit aan iemand anders dan Google
- Gebruik wachtwoorden nooit opnieuw
- Gebruik altijd een goede wachtwoordbeheerder
- Gebruik waar mogelijk tweefactorauthenticatie
Meer: beste wachtwoordmanagers voor Android in 2019
Deze praktijken kunnen een dergelijk misbruik niet voorkomen, maar ze kunnen de schade beperken als iemand een paar van uw persoonlijke gegevens zou krijgen. Maak het de slechteriken niet gemakkelijk.
Meer informatie komt eraan
Zoals gezegd, zal het Tencent Blade Team alle details over QualPwn vrijgeven tijdens aankomende presentaties op zowel Black Hat 2019 als DEFCON 27. Deze conferenties zijn gericht op de beveiliging van elektronische apparaten en worden vaak gebruikt om dergelijke exploits in detail te beschrijven.
Zodra Tencent Blade meer details verstrekt, weten we meer over wat we kunnen doen om eventuele risico's met onze eigen telefoons te verminderen.
Jerry Hildenbrand
Jerry is de huisnerd van Mobile Nation en daar trots op. Er is niets dat hij niet uit elkaar kan halen, maar veel dingen kan hij niet weer in elkaar zetten. Je vindt hem op het Mobile Nations-netwerk en dat kan sla hem op Twitter als je hey wilt zeggen.