Tartalomjegyzék:
- Mi a QualPwn?
- Mi a WLAN?
- Javítva a QualPWN?
- Milyen eszközöket érinti?
- Használták-e a QualPwn-t a való világban?
- Mit kell tennem, amíg meg nem kapom a javítást?
- További információk jönnek
- Még több Pixel 3
- Google Pixel 3
A telefon számtalan válogatott alkatrészből épül fel, és sokuk "okos", és saját beépített processzorral és firmware-vel rendelkezik. Ez azt jelenti, hogy rengeteg olyan hely található a hibák és sebezhetőségek számára, amelyek lehetővé tennék a rossz szereplők számára, hogy hozzáférjenek azokhoz a dolgokhoz, amelyeknek nem kellene. Azok a gyártók, amelyek ezeket az alkatrészeket gyártják, mindig igyekszenek javítani és megszilárdítani a dolgokat, hogy megakadályozzák azt, de számukra lehetetlen mindent megtalálni, mielőtt egy alkatrész elhagyja a laboratóriumot, és végül a futószalagra jut.
A legtöbb kizsákmányolást még mielőtt bárki megtudná, hogy létezik, javítják, de néhányuk át is készül.
Ez a hiba és a sebezhetőség megtalálását önmagában iparággé teszi. A DEFCON 27 és a Black Hat 2019, a hatalmas helyszíneken, ahol a kizsákmányolást nyilvánosságra hozzák és demonstrálják (és remélhetőleg javítják), a Tencent Blade Team bejelentette a Qualcomm chipek sérülékenységét, amely lehetővé tenné a támadó számára a kernelen keresztüli hozzáférést és potenciálisan való hozzáférést. bejuthat a telefonjába, és árthat. A jó hír az, hogy felelősségteljesen bejelentették, és a Qualcomm együttműködött a Google-lal a probléma kijavításáért az 2019. augusztusi Android biztonsági közleményben.
Itt van minden, amit tudnia kell a QualPwnról.
Mi a QualPwn?
A vicces név mellett a QualPwn leírja a Qualcomm chipek sebezhetőségét is, amely lehetővé tenné a támadó számára, hogy távolról veszélyeztesse a telefont a WLAN (vezeték nélküli helyi hálózat) és a cellás modem segítségével. A Qualcomm platformot a Secure Boot védi, de a QualPwn legyőzi a Secure Boot alkalmazást, és hozzáférést biztosít a támadóhoz a modemhez, hogy a hibakeresési eszközöket betölthessék és az alapsávot vezéreljék.
Amint ez megtörténik, lehetséges, hogy a támadó kihasználhatja az Android tetején futó kernelt, és emelt szintű jogosultságokat kaphat - hozzáférhet a személyes adataihoz.
Nincs minden részletünk arról, hogy ez hogyan történne, vagy milyen könnyű lenne, de ezek a Tencent Blade Black Hat 2019 és a DEFCON 27 előadások során érkeznek.
Mi a WLAN?
A WLAN a vezeték nélküli helyi hálózatot jelenti, és ez a mindenre kiterjedő név minden eszközcsoporthoz - beleértve a mobiltelefont is -, amelyek vezeték nélkül kommunikálnak egymással. A WLAN használhat Wi-Fi, mobil, szélessávú, Bluetooth vagy bármilyen más vezeték nélküli kommunikációt, és mindig is mézeskalács volt az embereket kereső emberek számára.
Mivel oly sok különböző típusú eszköz lehet a WLAN része, nagyon specifikus szabványok vannak a kapcsolat létrehozásának fenntartására. A telefonjának, beleértve az olyan alkatrészeket, mint a Qualcomm chipek, be kell építeniük és be kell tartaniuk ezeket a szabványokat. A szabványok fejlődésével és az új hardverek létrehozásával a hibák létrehozása és a kapcsolatok létrehozásának hibái előfordulhatnak.
Javítva a QualPWN?
Igen. Az Android 2019. augusztus biztonsági közleménye tartalmazza az összes kódot, amely a Qualcomm érintett készülékeinek javításához szükséges. Ha a telefon megkapja a 2019. augusztusi javítást, biztonságban vagy.
Milyen eszközöket érinti?
A Tencent Blade Team nem minden telefonot tesztelt a Qualcomm chipek segítségével, csak a Pixel 2 és a Pixel 3-at. Mindkettő sebezhető volt, tehát minden Snapdragon 835 és 845 platformon futó telefon valószínűleg minimálisan érintett. A QualPwn javításához használt kód bármely telefonra alkalmazható, amelyen Qualcomm processzor és Android 7.0 vagy újabb fut.
Amíg az összes részlet nem kerül kiadásra, biztonságos feltételezni, hogy minden modern Snapdragon lapkakészletet a javításig veszélyeztetettnek kell tekinteni.
Használták-e a QualPwn-t a való világban?
Ezt a hasznot 2019. márciusában felelősségteljesen közölték a Google-val, és ellenőrizték, hogy azt továbbították a Qualcomm-nek. A Qualcomm értesítette partnereit és elküldte a kódot, hogy 2019 júniusában helyrehozza. A lánc minden egyes elemét a 2019. augusztus Android biztonsági közleményben használt kóddal javítottuk.
A QualPwn természetben történő kizsákmányolásáról nem számoltak be. A Qualcomm a következő nyilatkozatot is kiadta a kérdéssel kapcsolatban:
A robusztus biztonságot és adatvédelmet támogató technológiák biztosítása a Qualcomm prioritása. Üdvözöljük a Tencent biztonsági kutatóit, hogy az iparági szabványok szerint összehangolt nyilvánosságra hozatali gyakorlatokat alkalmaztak a biztonsági rés jutalmazási programján keresztül. A Qualcomm Technologies már kiadott javításokat az OEM-ek számára, és arra ösztönözzük a végfelhasználókat, hogy frissítsék az eszközöket, amint a javítások az OEM-ektől elérhetők.
Mit kell tennem, amíg meg nem kapom a javítást?
Most tényleg nincs mit megtenni. A kérdéseket a Google és a Qualcomm kritikusnak jelölte, és azonnal javításra került, tehát most meg kell várnia, hogy a telefont gyártó cég megkapja neked. A Pixel telefonokhoz, mint például a Pixel 2 és 3, valamint az Essential és a OnePlus néhány másjához, már rendelkezésre áll a javítás. Mások, a Samsung, a Motorola, az LG és mások valószínűleg néhány napot vagy néhány hétig tartanak, amíg a telefonra kerülnek.
Addig kövesse ugyanazokat a bevált gyakorlatokat, amelyeket mindig használjon:
- Mindig használjon erős zár képernyőt
- Soha ne kövessen linket olyan személytől, akit nem ismersz és bízol benne
- Soha ne küldjön semmilyen személyes adatot olyan webhelyeknek vagy alkalmazásoknak, amelyekben nem bízol
- Soha ne adja át a Google jelszavát senkinek a Google mellett
- Soha ne használja újra a jelszavakat
- Mindig használjon jó jelszókezelőt
- Használjon kétfaktoros hitelesítést, amikor csak tud
Több: A legjobb jelszókezelők az Android-hoz 2019-ben
Ez a gyakorlat nem akadályozhatja meg az ilyen jellegű kizsákmányolást, de enyhítheti a károkat, ha valaki megszerez néhány személyes adatot. Ne tedd könnyűvé a rossz fiúk számára.
További információk jönnek
Mint már említettem, a Tencent Blade Team a következő részekben bemutatja a QualPwn minden részletét a Black Hat 2019-en és a DEFCON 27-en egyaránt. Ezek a konferenciák az elektronikus eszközök biztonságára összpontosítanak, és gyakran használják fel az ilyen jellegű kizsákmányolás részleteit.
Amint a Tencent Blade további részletekkel szolgál, többet tudunk arról, hogy mit tehetünk a saját telefonunkkal kapcsolatos kockázatok csökkentése érdekében.
Még több Pixel 3
Google Pixel 3
- A Google Pixel 3 és 3 XL áttekintése
- A legjobb pixel 3 esetek
- A legjobb Pixel 3 XL tokok
- A legjobb Pixel 3 képernyővédők
- A legjobb Pixel 3 XL képernyővédők
Jutalékokat kereshetünk a linkek segítségével a vásárlásokért. Tudj meg többet.
