שישה פגמים בשבבי קוואלקום מסכנים מיליוני סמארטפונים

אמנסטי אינטרנשיונלמגלה כי המשטרה הסרביתשל עיתונאים או פעילים מסוימים. במהלך חקירות, שוטרים לקחו את הטלפונים שלהם ללא ידיעתם, לפני שפתחו אותם עם Cellebrite, כלי לפתיחת נעילה שאומץ באופן נרחב על ידי רשויות החוק ברחבי העולם. הוא עוצב על ידי חברה ישראלית באותו שם, המוכרת כאחת המובילות בתחום האנליטיקה והפורנזיה למובייל.

ברגע שהסמארטפון נפתח, מומחי המשטרה הסרבית החליקו תוכנת ריגול שנקראהNoviSpy. הוא מאפשר להאזין לשיחות מרחוק דרך המיקרופון או לצלם תמונות עם המכשיר ללא ידיעת המשתמשים.

קרא גם:

מיליוני סמארטפונים אנדרואיד פגיעים

בשיתוף עם חוקרי Project Zero של גוגל, אמנסטי הצליחה לקבוע שסלברייט מסתמכת על נקודות תורפה משבבי קוואלקוםכדי לפתוח סמארטפונים אנדרואיד. הפגמים שימשו גם להתקנת וירוס הריגול, בחלק השני של המבצע.

רכיבי קוואלקום נמצאים בכל מקום במכשירי אנדרואיד. אחד הפגמים שזוהו"משפיע על מכשירי אנדרואיד רבים המשתמשים בערכות שבבים פופולריות של קוואלקום, ומשפיע על מיליוני מכשירי אנדרואיד ברחבי העולם,"אומרת אמסטי.

בהתבסס על המידע שסיפקה Amesty, גוגל הצליחה לזהותשש נקודות תורפה של יום אפסבשבבי קוואלקום. מבוסס על ה"יומני שגיאות ליבה קריטיים", הוביל פרויקט אפס"מחקר מקיף שזיהה שש נקודות תורפה בנהג של קוואלקום במהלך 2.5 חודשים". החוקרים הצליחו לאשר שהפגמים אכן נוצלו בהתקפות סייבר.

במקרים מסוימים, היה זה מנהל ההתקן של FastRPC (Fast Remote Procedure Call) על השבבים שסבל מכשל. הוא מאפשר ליישומים הפועלים על המעבד הראשי לבצע פעולות מורכבות על מעבד שותף, כגון DSP (Digital Signal Processor).

קרא גם:

פגמים תוקנו במהירות... או כמעט

למרות האזהרות של גוגל, קוואלקום עדיין לא תיקנה את כל הפגמים. ואכן, הפגיעות CVE-2024-49848, המאפשרת לתוקף להשתמש בבאג בניהול הזיכרון כדי לשמור על גישה למערכת, טרם תוקנה. פותח פתרון, אך הוא טרם נפרס.

עם זאת, יש לפגיעות אחרותתוקן, למרות שקוואלקום לקח יותר מ-90 יום לסגור כמה חורים. בתעשיית אבטחת הסייבר, מקובל לאפשר לחברות 90 יום לתקן פרצת אבטחה לאחר גילויה.

בתגובה שהופנתה למחשב מצמרר, קוואלקום תודה"חוקרים ב-Google Project Zero ומעבדת האבטחה של אמנסטי אינטרנשיונל על מעקב אחר נהלי חשיפה מתואמים".

"לגבי עבודתם על מנהלי התקנים של FastRPC, תיקונים סופקו ללקוחות שלנו כבר בספטמבר 2024. אנו ממליצים למשתמשי קצה להתקין עדכוני אבטחה ברגע שהם יהיו זמינים מיצרני המכשירים שלהם", ממליצה על קוואלקום, ומדגישה זאת"פיתוח טכנולוגיות להבטחת אבטחה ופרטיות משופרים הם בראש סדר העדיפויות של קוואלקום".

לרוע המזל, הפגמים עשויים להישאר פתוחים למשך זמן מה, לפחות במכשירים מסוימים. למרות שהיצרנים קיבלו את התיקונים, עשויים לחלוף חודשים עד שכל השבבים הפגיעים יעודכנו על ידי המשתמשים. משתמשים רבים מתעלמים מהתקנת עדכוני אבטחה. יש גם מקרה של סמארטפונים מיושנים, ללא טלאים.

כפי שגוגל מציינת בדוח שלה,"האבטחה של מערכת מבוססת על החוליה החלשה ביותר שלה, ובשנת 2024, ערכת שבבים ומנהלי התקנים של GPU הם אחת החולשות העיקריות שמפריעות להפרדת הרשאות באנדרואיד". השנה זוהו פגמים רבים בצ'יפים של קוואלקום. בתחילת הסתיו,. כאן שוב, זה היה מנהל ההתקן של FastRPC שהיה פגום.

🔴 כדי לא לפספס שום חדשות 01net, עקבו אחרינוחדשות גוגלetוואטסאפ.

מקור: מחשב מצמרר