Logo sv.androidermagazine.com
Logo sv.androidermagazine.com
» Nyheter
Nyheter

Qualpwn är en ny exploit för Qualcomm snapdragon chips, här är vad du behöver veta

Qualpwn är en ny exploit för Qualcomm snapdragon chips, här är vad du behöver veta

Innehållsförteckning:

Anonim

Din telefon är byggd av ett stort antal olika delar, och många av dem är "smarta" och har sina egna inbyggda processorer och firmware. Det betyder att det finns många platser för buggar eller sårbarheter som kan göra det möjligt för en dålig aktör att få tillgång till saker de inte borde göra. De företag som tillverkar dessa delar försöker alltid förbättra och härda saker för att förhindra det, men det är omöjligt för dem att hitta allt innan en komponent lämnar labbet och hamnar på monteringslinjen.

De flesta utnyttjelser korrigeras innan någon vet att de existerar, men vissa gör det igenom.

Detta gör att hitta dessa buggar och sårbarheter till en bransch i sig. På DEFCON 27 och Black Hat 2019, enorma platser där exploateringar offentliggörs och demonstreras (och förhoppningsvis, lappade), har Tencent Blade Team meddelat en sårbarhet i Qualcomm-chips som skulle göra det möjligt för en angripare att få åtkomst genom kärnan och potentiellt komma in i din telefon och orsaka skada. Den goda nyheten är att det tillkännagavs ansvarsfullt och Qualcomm arbetade med Google för att lösa problemet med Android Security Bulletin från augusti 2019.

Här är allt du behöver veta om QualPwn.

Vad är QualPwn?

Förutom att det är ett roligt namn, beskriver QualPwn en sårbarhet i Qualcomm-chips som skulle göra det möjligt för en angripare att kompromissa med en telefon via WLAN (Wireless Local Area Network) och cellmodem på distans. Qualcomm-plattformen är skyddad av Secure Boot, men QualPwn besegrar Secure Boot och ger en angripare tillgång till modemet så att felsökningsverktyg kan laddas och basbandet kan kontrolleras.

När det händer är det möjligt att en angripare kan utnyttja kärnan som Android kör på toppen av och få förhöjda privilegier - de kan ha tillgång till dina personuppgifter.

Vi har inte alla detaljer om hur detta skulle hända eller hur lätt det skulle vara, men de kommer under Tencent Blades Black Hat 2019 och DEFCON 27 presentationer.

Vad är ett WLAN?

WLAN står för Wireless Local Area Network och det är ett samlingsnamn för alla grupper av enheter - inklusive mobiltelefoner - som kommunicerar trådlöst med varandra. Ett WLAN kan använda Wi-Fi, mobil, bredband, Bluetooth eller vilken annan trådlös typ som helst för att kommunicera och det har alltid varit en honeypot för personer som letar efter exploateringar.

Eftersom så många olika enhetstyper kan ingå i ett WLAN finns det mycket specifika standarder för hur en anslutning skapas och upprätthålls. Din telefon, inklusive komponenter som Qualcomms chips, måste integrera och följa dessa standarder. När standarderna går framåt och ny maskinvara skapas kan buggar och sårbarheter i hur anslutningar skapas.

Har QualPWN fixats?

Ja. Android-säkerhetsbulletin för augusti 2019 har all kod som behövs för att korrigera berörda enheter från Qualcomm. När din telefon har fått patch i augusti 2019 är du säker.

Vilka enheter påverkas?

Tencent Blade Team testade inte varje telefon med ett Qualcomm-chip, bara Pixel 2 och Pixel 3. Båda var sårbara, så alla telefoner som körs på plattformarna Snapdragon 835 och 845 påverkas antagligen till ett minimum. Koden som används för att korrigera QualPwn kan tillämpas på alla telefoner som kör en Qualcomm-processor och Android 7.0 eller högre.

Tills alla detaljer har släppts är det säkert att antaga att alla moderna Snapdragon-chipset bör betraktas som i riskzonen tills de lappas.

Har QualPwn använts i den verkliga världen?

Detta utnyttjande avslöjades på ett ansvarsfullt sätt till Google i mars 2019 och en gång verifierat det skickades till Qualcomm. Qualcomm meddelade sina partners och skickade ut koden för att lappa den i juni 2019, och varje bit av kedjan lappades med den kod som användes i augusti 2019 Android Security Bulletin.

Inga fall av QualPwn som utnyttjas i naturen har rapporterats. Qualcomm utfärdade också följande uttalande angående frågan:

Att tillhandahålla teknik som stöder robust säkerhet och integritet är en prioritet för Qualcomm. Vi berömmer säkerhetsforskarna från Tencent för att använda branschstandard samordnade avslöjande metoder genom vårt Vulnerability Rewards-program. Qualcomm Technologies har redan utfärdat korrigeringar till OEM-tillverkare, och vi uppmuntrar slutanvändare att uppdatera sina enheter när patchar blir tillgängliga från OEM-tillverkare.

Vad ska jag göra tills jag får plåstret?

Det är verkligen inte något du kan göra just nu. Frågorna har markerats som kritiska av Google och Qualcomm och korrigerades omedelbart, så just nu måste du vänta på att företaget som gjorde din telefon ska få det till dig. Pixel-telefoner, som Pixel 2 och 3, tillsammans med några andra från Essential och OnePlus, har redan lagret tillgängligt. Andra från Samsung, Motorola, LG och andra kommer troligtvis att ta några dagar till några veckor för att skjutas till telefoner.

Under tiden följer du samma bästa praxis som du alltid bör använda:

  • Använd alltid en stark låsskärm
  • Följ aldrig en länk från någon du inte känner och litar på
  • Skicka aldrig någon personlig information till webbplatser eller appar som du inte litar på
  • Ge aldrig ditt Google-lösenord till någon förutom Google
  • Återanvänd aldrig lösenord
  • Använd alltid en bra lösenordshanterare
  • Använd tvåfaktorautentisering när du kan

Mer: Bästa lösenordshanterare för Android 2019

Dessa metoder förhindrar kanske inte utnyttjande av denna typ, men de kan mildra skadorna om någon skulle få några av dina personliga uppgifter. Gör det inte lätt för skurkarna.

Mer information kommer

Som nämnts kommer Tencent Blade Team att släppa alla detaljer om QualPwn under kommande presentationer på både Black Hat 2019 och DEFCON 27. Dessa konferenser är inriktade på elektronisk enhetssäkerhet och används ofta för att detaljutnyttja sådana.

När Tencent Blade ger mer information, vet vi mer om vad vi kan göra för att mildra eventuella risker med våra egna telefoner.

Få mer Pixel 3

Google Pixel 3

  • Google Pixel 3 och 3 XL granskning
  • Bästa Pixel 3-fall
  • Bästa Pixel 3 XL-fodral
  • Bästa Pixel 3-skärmskydd
  • Bästa Pixel 3 XL-skärmskydd

Vi kan tjäna en provision för inköp med våra länkar. Läs mer.

Nyheter

Redaktörens val