Qualpwn เป็นช่องทางใหม่สำหรับชิป snapcommagon qualcomm นี่คือสิ่งที่คุณต้องรู้

โทรศัพท์ของคุณสร้างขึ้นจากชิ้นส่วนต่าง ๆ มากมายและส่วนใหญ่เป็น "สมาร์ท" และมีโปรเซสเซอร์และเฟิร์มแวร์ในตัว นั่นหมายความว่ามีสถานที่มากมายสำหรับข้อบกพร่องหรือช่องโหว่ที่จะพบว่าจะช่วยให้นักแสดงที่ไม่ดีสามารถเข้าถึงสิ่งที่พวกเขาไม่ควร บริษัท ที่ผลิตชิ้นส่วนเหล่านี้มักจะพยายามปรับปรุงและเสริมสิ่งต่าง ๆ เพื่อป้องกัน แต่ก็เป็นไปไม่ได้ที่พวกเขาจะพบทุกสิ่งก่อนที่ส่วนประกอบจะออกจากห้องแล็บและจบลงที่สายการประกอบ

การหาประโยชน์ส่วนใหญ่จะได้รับการแก้ไขก่อนที่ใครจะรู้ว่ามีอยู่จริง แต่ก็มีบางอย่างที่ทำได้

ทำให้การค้นหาข้อบกพร่องและช่องโหว่เหล่านี้เป็นอุตสาหกรรมในสิทธิของตนเอง ที่ DEFCON 27 และ Black Hat 2019 สถานที่ขนาดใหญ่ที่มีการเปิดเผยการหาประโยชน์สาธารณะ (และหวังว่าจะได้รับการติดตั้ง) ช่องโหว่ในชิป Qualcomm ได้ประกาศโดยทีม Tencent Blade ซึ่งจะช่วยให้ผู้โจมตีสามารถเข้าถึงผ่านเคอร์เนลและอาจ เข้าไปในโทรศัพท์ของคุณและก่อให้เกิดอันตราย ข่าวดีก็คือว่ามันได้มีการประกาศอย่างมีความรับผิดชอบและ Qualcomm ได้ทำงานร่วมกับ Google เพื่อแก้ไขปัญหาด้วย Bulletin Android Security เดือนสิงหาคม 2019

นี่คือทุกสิ่งที่คุณต้องรู้เกี่ยวกับ QualPwn

QualPwn คืออะไร

นอกจากจะเป็นชื่อตลกแล้ว QualPwn ยังอธิบายถึงช่องโหว่ในชิป Qualcomm ที่จะทำให้ผู้โจมตีสามารถประนีประนอมโทรศัพท์ผ่านทาง WLAN (เครือข่ายไร้สายในพื้นที่) และโมเด็มมือถือจากระยะไกล แพลตฟอร์ม Qualcomm ได้รับการป้องกันโดย Secure Boot แต่ QualPwn เอาชนะ Secure Boot และให้ผู้โจมตีเข้าถึงโมเด็มเพื่อให้เครื่องมือในการดีบักสามารถโหลดได้และสามารถควบคุมเบสแบนด์ได้

หลังจากนั้นเกิดขึ้นเป็น ไปได้ ว่าผู้โจมตีสามารถใช้ประโยชน์จากเคอร์เนลที่ Android รันบนและได้รับสิทธิ์ยกระดับ - พวกเขาสามารถเข้าถึงข้อมูลส่วนบุคคลของคุณได้

เราไม่มีรายละเอียดทั้งหมดเกี่ยวกับสิ่งที่จะเกิดขึ้นหรือจะง่ายขนาดนี้ แต่จะมาในช่วงการนำเสนอ Black Hat 2019 และการนำเสนอ DEFCON 27 ของ Tencent Blade

WLAN คืออะไร

WLAN ย่อมาจาก Wireless Local Area Network และเป็นชื่อที่จับใจได้สำหรับกลุ่มอุปกรณ์ใด ๆ รวมถึงโทรศัพท์มือถือที่สื่อสารกันแบบไร้สาย WLAN สามารถใช้ Wi-Fi, โทรศัพท์มือถือ, บรอดแบนด์, บลูทู ธ หรือประเภทไร้สายอื่น ๆ ในการสื่อสารและมันก็เป็น Honeypot สำหรับผู้ที่มองหาช่องโหว่อยู่เสมอ

เนื่องจากประเภทอุปกรณ์ที่แตกต่างกันจำนวนมากสามารถเป็นส่วนหนึ่งของ WLAN จึงมีมาตรฐานที่เฉพาะเจาะจงมากเกี่ยวกับวิธีการดูแลรักษาการเชื่อมต่อ โทรศัพท์ของคุณรวมถึงส่วนประกอบต่างๆเช่นชิปของ Qualcomm ต้องรวมและปฏิบัติตามมาตรฐานเหล่านี้ เมื่อมีการสร้างมาตรฐานล่วงหน้าและฮาร์ดแวร์ใหม่ข้อบกพร่องและช่องโหว่ในการสร้างการเชื่อมต่ออาจเกิดขึ้นได้

QualPWN ได้รับการแก้ไขแล้วหรือยัง

ใช่. กระดานข่าวความปลอดภัยของ Android สำหรับเดือนสิงหาคม 2019 มีรหัสทั้งหมดที่จำเป็นสำหรับการแก้ไขอุปกรณ์ที่ได้รับผลกระทบจาก Qualcomm เมื่อโทรศัพท์ของคุณได้รับการแก้ไขในเดือนสิงหาคม 2019 คุณจะปลอดภัย

อุปกรณ์ใดบ้างที่ได้รับผลกระทบ

ทีม Tencent Blade ไม่ได้ทดสอบโทรศัพท์ทุกเครื่องที่ใช้ชิป Qualcomm เพียงแค่ Pixel 2 และ Pixel 3 ทั้งคู่มีความเสี่ยงดังนั้นโทรศัพท์ทั้งหมดที่ใช้งานบนแพลตฟอร์ม Snapdragon 835 และ 845 อาจ ได้รับผลกระทบน้อยที่สุด รหัสที่ใช้ในการแก้ไข QualPwn สามารถนำไปใช้กับโทรศัพท์ที่ใช้โปรเซสเซอร์ Qualcomm และ Android 7.0 หรือสูงกว่า

จนกว่าจะมีการเปิดเผยรายละเอียดทั้งหมดแล้วถือว่าปลอดภัยที่จะถือว่าชิปเซ็ต Snapdragon ที่ทันสมัยทั้งหมดควรได้รับการพิจารณาว่ามีความเสี่ยงจนกว่าจะมีการติดตั้ง

QualPwn ถูกใช้ในโลกแห่งความเป็นจริงหรือไม่?

การหาประโยชน์ดังกล่าวเปิดเผยต่อ Google ในเดือนมีนาคม 2019 และเมื่อตรวจสอบแล้วจะถูกส่งต่อไปยัง Qualcomm วอลคอมม์แจ้งพันธมิตรและส่งรหัสเพื่อแก้ไขในเดือนมิถุนายน 2019 และทุกชิ้นส่วนของห่วงโซ่ได้รับการแก้ไขด้วยรหัสที่ใช้ใน Bulletin Android Security สิงหาคม 2019

ไม่มีการรายงานกรณีของ QualPwn ที่ถูกโจมตีใน wild วอลคอมม์ยังออกแถลงการณ์ต่อไปนี้เกี่ยวกับปัญหา:

การนำเสนอเทคโนโลยีที่สนับสนุนความปลอดภัยและความเป็นส่วนตัวที่มีความสำคัญเป็นสิ่งสำคัญสำหรับ Qualcomm เราขอยกย่องนักวิจัยด้านความปลอดภัยจาก Tencent ที่ใช้วิธีปฏิบัติด้านการเปิดเผยข้อมูลที่มีมาตรฐานร่วมกันผ่านโปรแกรม Vulnerability Rewards ของเรา Qualcomm Technologies ได้ออกโปรแกรมแก้ไขให้กับ OEM แล้วและเราขอแนะนำให้ผู้ใช้ปลายทางอัปเดตอุปกรณ์ของพวกเขาเมื่อมีการติดตั้ง Patch จาก OEM

ฉันควรทำอย่างไรจนกว่าฉันจะได้รับแพตช์

ตอนนี้ไม่มีอะไรจริงๆที่คุณสามารถทำได้ ปัญหาถูกทำเครื่องหมายว่า สำคัญ โดย Google และ Qualcomm และได้รับการแก้ไขทันทีดังนั้นตอนนี้คุณต้องรอให้ บริษัท ที่ทำให้โทรศัพท์ของคุณมาหาคุณ โทรศัพท์พิกเซลเช่น Pixel 2 และ 3 พร้อมกับอื่น ๆ จาก Essential และ OnePlus มีโปรแกรมแก้ไขอยู่แล้ว คนอื่น ๆ จากซัมซุงโมโตโรล่าแอลจีและคนอื่น ๆ อาจใช้เวลาสองสามวันในการย้ายไปยังโทรศัพท์

ในระหว่างนี้ให้ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดแบบเดียวกันกับที่คุณควรใช้อยู่เสมอ:

• ใช้หน้าจอล็อคที่แข็งแกร่งเสมอ
• อย่าติดตามลิงก์จากคนที่คุณไม่รู้จักและเชื่อถือ
• อย่าส่งข้อมูลส่วนตัวใด ๆ ไปยังเว็บไซต์หรือแอพที่คุณไม่ไว้วางใจ
• อย่าให้รหัสผ่าน Google ของคุณกับใครนอกจาก Google
• อย่าใช้รหัสผ่านซ้ำ
• ใช้เครื่องมือจัดการรหัสผ่านที่ดีเสมอ
• ใช้การรับรองความถูกต้องด้วยสองปัจจัยทุกครั้งที่คุณทำได้

เพิ่มเติม: ผู้จัดการรหัสผ่านที่ดีที่สุดสำหรับ Android ในปี 2019

การปฏิบัติเหล่านี้อาจไม่ป้องกันการถูกเอารัดเอาเปรียบในลักษณะนี้ แต่พวกเขาสามารถลดความเสียหายได้หากมีคนต้องการข้อมูลส่วนตัวของคุณ อย่าทำให้ง่ายสำหรับคนเลว

ข้อมูลเพิ่มเติมกำลังมา

ดังที่กล่าวไว้ทีม Tencent Blade จะปล่อยรายละเอียดทั้งหมดเกี่ยวกับ QualPwn ระหว่างการนำเสนอที่จะเกิดขึ้นที่ Black Hat 2019 และ DEFCON 27 การประชุมเหล่านี้มีศูนย์กลางที่ความปลอดภัยของอุปกรณ์อิเล็กทรอนิกส์และมักจะใช้เพื่อดูรายละเอียดการหาประโยชน์เช่นนี้

เมื่อ Tencent Blade ให้รายละเอียดเพิ่มเติมเราจะทราบเพิ่มเติมเกี่ยวกับสิ่งที่เราสามารถทำได้เพื่อลดความเสี่ยงด้วยโทรศัพท์ของเราเอง

รับ Pixel มากกว่า 3

Google Pixel 3

• รีวิว Google Pixel 3 และ 3 XL
• สุดยอด Pixel 3 คดี
• สุดยอดเคส Pixel 3 XL
• สุดยอดตัวป้องกันหน้าจอ Pixel 3
• สุดยอดตัวป้องกันหน้าจอ Pixel 3 XL

เราอาจได้รับค่าคอมมิชชั่นสำหรับการซื้อโดยใช้ลิงก์ของเรา เรียนรู้เพิ่มเติม.