Qualpwn הוא ניצול חדש לשבבי snapdragon של Qualcomm, הנה מה שאתה צריך לדעת

הטלפון שלך בנוי משלל חלקים שונים, ורבים מהם "חכמים" ויש להם מעבדים וקושחה מובנים משלהם. פירוש הדבר שיש המון מקומות שבהם ניתן למצוא באגים או פגיעויות אשר יאפשרו לשחקן רע גישה לדברים שאסור להם. החברות שמייצרות את החלקים האלה מנסות תמיד לשפר ולהקשיב את הדברים כדי למנוע זאת, אך אי אפשר עבורן למצוא הכל לפני שמרכיב עוזב את המעבדה וגומר על פס הייצור.

מרבית העלילות טופלים לפני שמישהו יודע שהם קיימים, אך חלקם עוברים את זה.

זה הופך את מציאת הבאגים והפגיעויות הללו לתעשייה בפני עצמה. ב- DEFCON 27 וב- Black Hat 2019, מקומות ענק שבהם מפיצים ניצולים ומפגינים (ובתקווה, טלאים), הוכרז על פגיעות בשבבי קוואלקום על ידי צוות Tencent Blade שיאפשר לתוקף להשיג גישה דרך הגרעין ובאופן פוטנציאלי היכנס לטלפון שלך וגרם נזק. החדשות הטובות הן שהוא הוכרז באחריות וקוואלקום עבדה עם גוגל כדי לתקן את הבעיה עם עלון האבטחה של אנדרואיד אוגוסט 2019.

להלן כל מה שאתה צריך לדעת על QualPwn.

מה זה QualPwn?

מלבד היותו שם מצחיק, QualPwn מתאר פגיעות בשבבי קוואלקום שתאפשר לתוקף להתפשר על טלפון דרך WLAN (Wireless Local Area Network) ומודם סלולרי מרחוק. פלטפורמת Qualcomm מוגנת על ידי Secure Boot, אך QualPwn מביס את Secure Boot ונותן לתוקף גישה למודם כך שניתן יהיה לטעון את כלי הבאגים ולשלוט על בסיס הבסיס.

ברגע שזה יקרה, יתכן שתוקף יכול לנצל את הגרעין שאנדרואיד מפעיל ולהשיג הרשאות גבוהות - הם יכולים לקבל גישה לנתונים האישיים שלך.

אין לנו את כל הפרטים על איך זה היה קורה או כמה קל זה יהיה, אבל אלה מגיעים במהלך המצגות של הכובע השחור של Tencent Blade 2019 ו- DEFCON 27.

מהי WLAN?

WLAN מייצג את הרשת המקומית האלחוטית וזה שם כולל לכל קבוצה של מכשירים - כולל טלפונים ניידים - שמתקשרים זה עם זה באופן אלחוטי. WLAN יכול להשתמש ב- Wi-Fi, סלולרי, פס רחב, Bluetooth או כל סוג אלחוטי אחר כדי לתקשר ותמיד זה היה צירוף רוח לאנשים המחפשים ניצולים.

מכיוון שכל כך הרבה סוגי מכשירים שונים יכולים להיות חלק מ- WLAN, ישנם תקנים מאוד ספציפיים לגבי יצירת חיבור ומתוחזק. הטלפון שלך, כולל רכיבים כמו השבבים של קוואלקום, צריך לשלב ולעמוד בתקנים אלה. עם התקדמות התקנים ונוצרת חומרה חדשה, באגים ופגיעויות באופן יצירת החיבורים יכולים לקרות.

האם QualPWN תוקן?

כן. בעלון האבטחה של אנדרואיד לאוגוסט 2019 כולל את כל הקוד הדרוש לתיקון מכשירים מושפעים מ- Qualcomm. ברגע שהטלפון שלך יקבל את התיקון באוגוסט 2019 אתה בטוח.

אילו מכשירים מושפעים?

צוות Tencent Blade לא בדק כל טלפון באמצעות שבב Qualcomm, רק Pixel 2 ו- Pixel 3. שניהם היו פגיעים, כך שכל הטלפונים הפועלים בפלטפורמות Snapdragon 835 ו- 845 מושפעים ככל הנראה לפחות. ניתן להחיל את הקוד המשמש לתיקון QualPwn על כל טלפון שמריץ מעבד Qualcomm ו- Android 7.0 ומעלה.

עד שלא ישוחררו כל הפרטים, ניתן להניח כי יש לשקול את כל ערכות השבבים המודרניות של Snapdragon בסיכון עד לתיקון.

האם נעשה שימוש ב- QualPwn בעולם האמיתי?

ניצול זה נחשף באחריות לגוגל במארס 2019, ואחרי שאומת אותו הועבר לקוואלקום. קוואלקום הודיעה לשותפיה ושלחה את הקוד כדי לתקן אותו ביוני 2019, וכל חתיכה של הרשת טופלה באמצעות הקוד ששימש בעלון האבטחה אנדרואיד באוגוסט 2019.

לא דווח על מקרים של QualPwn המנוצלים בטבע. קוואלקום פרסמה גם את ההצהרה הבאה בנושא:

מתן טכנולוגיות התומכות באבטחה ופרטיות איתנות הוא עדיפות עבור Qualcomm. אנו משבחים את חוקרי האבטחה מ- Tencent על השימוש בשיטות חשיפה מתואמות סטנדרטיות בתעשייה באמצעות תוכנית התגמולים הפגיעות שלנו. Qualcomm Technologies כבר הוציאה תיקונים ליצרני ציוד מקורי של OEM, ואנחנו מעודדים את משתמשי הקצה לעדכן את המכשירים שלהם ככל שהתיקונים יהיו זמינים מ- OEMs.

מה עלי לעשות עד שאשיג את התיקון?

אין ממש שום דבר שאתה יכול לעשות כרגע. הנושאים סומנו כקריטיים על ידי גוגל וקוואלקום וטופלו מייד, אז כרגע אתה צריך לחכות שהחברה שהפכה את הטלפון שלך תביא לך את זה. לטלפונים של פיקסלים, כמו Pixel 2 ו- 3, יחד עם כמה אחרים מ- Essential ו- OnePlus, כבר יש את התיקון. אחרים של סמסונג, מוטורולה, LG ואחרים ייקחו ככל הנראה כמה ימים עד מספר שבועות לדחיפתם לטלפונים.

בינתיים, עקוב אחר אותן שיטות מומלצות בהן עליך להשתמש תמיד:

• השתמש תמיד במסך נעילה חזק
• לעולם אל תעקוב אחר קישור ממישהו שאינך מכיר וסומך עליו
• לעולם אל תגיש פרטים אישיים לאתרים או אפליקציות שאינך סומך עליהם
• לעולם אל תתן את סיסמת Google שלך ​​למישהו מלבד גוגל
• לעולם אל תשתמש מחדש בסיסמאות
• השתמש תמיד במנהל סיסמאות טוב
• השתמש באימות דו-גורמי בכל הזדמנות שאתה יכול

עוד: מנהלי הסיסמאות הטובים ביותר עבור אנדרואיד בשנת 2019

פרקטיקות אלה עשויות לא למנוע ניצול מסוג זה, אך הן יכולות להקטין את הנזק אם מישהו יקבל כמה מהפרטים האישיים שלך. אל תקל על הרעים.

מידע נוסף מגיע

כאמור, צוות Tencent Blade ישחרר את כל הפרטים אודות QualPwn במהלך המצגות הקרובות בשני הכובע השחור 2019 וגם ב- DEFCON 27. כנסים אלו מתרכזים באבטחת מכשירים אלקטרוניים ולעיתים קרובות הם משמשים לפרטי ניצולים כאלה.

לאחר ש Tencent Blade יספק פרטים נוספים, נדע יותר מה אנו יכולים לעשות כדי להפחית את הסיכונים באמצעות הטלפונים שלנו.

קבל יותר פיקסל 3

פיקסל 3 של גוגל

• סקירה של Google Pixel 3 ו- 3 XL
• מארזי הפיקסלים 3 הטובים ביותר
• מארזי הפיקסלים 3 XL הטובים ביותר
• מגני מסך פיקסל 3 הטובים ביותר
• מגני מסך Pixel 3 הטובים ביותר

אנו עשויים להרוויח עמלה לרכישות באמצעות הקישורים שלנו. למד עוד.