ایراد امنیتی بزرگ در تراشه های کوالکام

اخیرا گوگل برای رفع مشکلات مهم امنیتی و آسیب پذیری در دستگاه های اندرویدی، یک آپدیت را ارایه کرد. با این حال، گزارشی حاکی از آن است که بیش از ۴۰۰ قطعه کد آسیب پذیر در تراشه DSP چیپکت کوالکام پیدا شد. در صورت عدم توجه، به گفته وی می تواند تلفن های هوشمند را به یک ابزار جاسوسی تبدیل کند و باعث شود هکرها بدافزار را نصب کنند. این ایراد امنیتی بزرگ در تراشه های کوالکام می تواند اکثر موبایل های اندرویدی را به خطر بیاندازد.

ایراد امنیتی بزرگ در تراشه های کوالکام

اخیرا آژانس امنیتی Check Point تحقیقاتی با عنوان “آشیل” انجام داده است. در این رابطه، آنها گزارش امنیتی عمیق از تراشه DSP در AP یا (Qualcomm Technologies AP) (پردازنده برنامه های کاربردی) را انجام داده و آسیب پذیری های پنهان شده در داخل Hexagon DSP تراشه اسنپدراگون کوالکام را پیدا کردند.

برای کسانی که نمی دانند باید بگویم DSP یک پردازنده سیگنال دیجیتال است. یکی از مؤلفه های مهم انجام درخواست های بصورت واقعی بین کاربران و سیستم عامل است. پردازش تصویر، صدا، محاسبات شبکه عصبی (مربوط به هوش مصنوعی)، جریان دوربین، موقعیت یابی GPS و موارد دیگر را انجام می دهد.

این آسیب چیست؟

آسیب پذیری های یافت شده عبارتند از CVE-2020-11201 ، CVE-2020-11202 ، CVE-2020-11206 ، CVE-2020-11207 ، CVE-2020-11208 و CVE-2020-11209. در واقع به نظر می رسید که آنها مستعد حمله DoS (انکار خدمات) یا حملات Privilege Escalation هستند.

این یک حمله شبکه است که برای بدست آوردن دسترسی غیرمجاز به سیستم هایی در محیط امنیتی استفاده می شود. هنگامی که وارد شوید، مهاجم می تواند کنترل دستگاه مورد نظر را در دست بگیرد و آن را به یک ابزار جاسوسی تبدیل کند. آنها می توانند دستگاه را بی فایده جلوه دهند، یا از مخرب برای مخفی کردن فعالیت های خود در داخل تلفن استفاده کنند که می تواند غیر قابل حذف شود.

مهاجم می تواند به داده های شخصی دسترسی پیدا کند

کوالکام

در ادامه این گزارش آمده است که مهاجم می تواند به داده های شخصی دسترسی پیدا کند. این شامل عکس، فیلم، ضبط تماس، داده موقعیت مکانی GPS، داده های میکروفون و موارد دیگر است. سپس، آنها فقط باید کاربران را وادار كنند كه بر روی یک فایل اجرایی كلیگ كنند و برای سوء استفاده از آنها دسترسی پیدا كنند.

پس از موفقیت در این امر، او می تواند Denial of Service یا انکار خدمات را در خرابکاری دستگاه ایجاد کند. برای چشم انداز همه چیز، او می تواند دستگاه را قفل کند یا سیستم عامل را نابود کند و آن را بی فایده کند.

موسسه Check Point معتقد است که DSP ها دارای یک سناریوی Black Box هستند که در آن تجزیه و تحلیل برای غیر سازنده ها بسیار پیچیده است. از این رو، علی رغم ارائه راه حل های مختلف با هزینه ارزانتر، DSP ها پیوند ضعیف تری دارند که فروشندگان، تولید کنندگان و تحلیلگران امنیتی را ملزم به همکاری در این زمینه می کند.

همه ما می دانیم که تراشه های اسنپدراگون کوالکام بیشتر پرچمداران اندرویدی را با تقریبا 40٪ سهم کلی بازار مطابق گزارش ها، قدرت می دهد. با توجه به اینکه دستگاه های اندرویدی بیشتر آسیب پذیر است، این یک کابوس برای شرکتها خواهد بود که بتوانند با استثمارهای بعدی مقابله کنند.

در این گزارش آمده است كه این مسئله در ماه فوریه به کوالکام گزارش شده است و اگرچه این شركت در ماه ژوئن تصحیح كرده است، هنوز مشخص نیست كه تولیدکننده ها به آن فشار آورده اند یا خیر. و طبق گزارش، حتی گوگل هنوز از این آسیب پذیری تا پایان ماه ژوئیه رسیدگی نکرده است.

نظر شما چیست؟ شما گوشی با تراشه کوالکام دارید؟ هنوز دقیقا مشخص نیست کدام تراشه های این شرکت مورد هدف بوده اند.