Logo tl.androidermagazine.com
Logo tl.androidermagazine.com
» Balita
Balita

Ang Qualpwn ay isang bagong pagsasamantala para sa mga qualcomm snapdragon chips, narito ang dapat mong malaman

Ang Qualpwn ay isang bagong pagsasamantala para sa mga qualcomm snapdragon chips, narito ang dapat mong malaman

Talaan ng mga Nilalaman:

Anonim

Ang iyong telepono ay itinayo mula sa maraming libu-libong mga bahagi, at marami sa kanila ay "matalino" at may sariling built-in na mga processor at firmware. Nangangahulugan ito na maraming lugar para sa mga bug o kahinaan na matatagpuan na magpapahintulot sa isang masamang aktor na magkaroon ng pag-access sa mga bagay na hindi nila dapat. Ang mga kumpanyang gumagawa ng mga bahaging ito ay palaging sinusubukan na pagbutihin at patigasin ang mga bagay upang maiwasan ito, ngunit imposible para sa kanila na mahanap ang lahat bago umalis ang isang sangkap at nagtatapos sa linya ng pagpupulong.

Karamihan sa mga pagsasamantala ay naka-patched bago alam ng sinuman na mayroon sila, ngunit ang ilan ay nagpapatuloy.

Ginagawa nito ang paghahanap ng mga bug at kahinaan ng isang industriya sa sarili nitong karapatan. Sa DEFCON 27 at Black Hat 2019, ang mga malalaking lugar kung saan ang pagsasamantala ay ginawang pampubliko at ipinakita (at inaasahan, naka-patched), isang kahinaan sa Qualcomm chips ay inihayag ng Tencent Blade Team na magpapahintulot sa isang attacker na makakuha ng access sa pamamagitan ng kernel at potensyal. pumasok sa iyong telepono at magdulot ng pinsala. Ang mabuting balita ay responsable na inihayag at ang Qualcomm ay nakipagtulungan sa Google upang ayusin ang isyu sa August 2019 Android Security Bulletin.

Narito ang lahat ng kailangan mong malaman tungkol sa QualPwn.

Ano ang QualPwn?

Bukod sa pagiging isang nakakatawang pangalan, inilarawan ng QualPwn ang isang kahinaan sa Qualcomm chips na magpapahintulot sa isang umaatake na makompromiso ang isang telepono sa pamamagitan ng WLAN (Wireless Local Area Network) at cell Modem nang malayuan. Ang Qualcomm platform ay protektado ng Secure Boot, ngunit natalo ng QualPwn ang Secure Boot at nagbibigay ng isang pag-atake sa pag-atake sa modem upang ang mga tool ng pag-debug ay maaaring mai-load at maaaring makontrol ang baseband.

Sa sandaling mangyari ito, posibleng ang isang magsasalakay ay maaaring samantalahin ang kernel na ang Android ay nagpapatakbo sa itaas at makakuha ng matataas na pribilehiyo - maaari silang magkaroon ng access sa iyong personal na data.

Wala kaming lahat ng mga detalye tungkol sa kung paano ito mangyayari o kung gaano kadali ito, ngunit ang mga darating sa panahon ng Black Hat 2019 ng Tencent Blade at ang DEFCON 27 na pagtatanghal.

Ano ang isang WLAN?

Ang WLAN ay nakatayo para sa Wireless Local Area Network at ito ay isang catch-all name para sa anumang pangkat ng mga aparato - kabilang ang mga mobile phone - na nakikipag-usap sa bawat isa nang wireless. Ang isang WLAN ay maaaring gumamit ng Wi-Fi, cellular, broadband, Bluetooth o anumang iba pang mga wireless na uri upang makipag-usap at palaging ito ay isang honeypot para sa mga taong naghahanap ng mga pagsasamantala.

Dahil napakaraming iba't ibang mga uri ng aparato ang maaaring maging bahagi ng isang WLAN, may mga tiyak na pamantayan tungkol sa kung paano nilikha ang isang koneksyon na napanatili. Ang iyong telepono, kabilang ang mga sangkap tulad ng Qualcomm's chips, ay kailangang isama at sundin ang mga pamantayang ito. Tulad ng mga pamantayan sa advance at bagong hardware ay nilikha, ang mga bug at kahinaan sa kung paano nilikha ang mga koneksyon ay maaaring mangyari.

Naayos ba ang QualPWN?

Oo. Ang Android Security Bulletin para sa Agosto 2019 ay mayroong lahat ng code na kinakailangan upang i-patch ang mga apektadong aparato mula sa Qualcomm. Kapag nakuha ng iyong telepono ang patch sa Agosto 2019 ligtas ka.

Anong mga aparato ang apektado?

Ang Tencent Blade Team ay hindi sumubok sa bawat telepono gamit ang isang Qualcomm chip, ang Pixel 2 at Pixel 3. Pareho ang mahina, kaya lahat ng mga telepono na tumatakbo sa Snapdragon 835 at 845 platform ay malamang na apektado sa isang minimum. Ang code na ginamit upang i-patch ang QualPwn ay maaaring mailapat sa anumang telepono na nagpapatakbo ng isang Qualcomm processor at Android 7.0 o mas mataas.

Hanggang sa mailabas ang lahat ng mga detalye, ligtas na ipagpalagay na ang lahat ng mga modernong chipset ng Snapdragon ay dapat isaalang-alang nang peligro hanggang sa mai-patched.

Ginamit ba ang QualPwn sa totoong mundo?

Ang pagsasamantala na ito ay responsable na isiniwalat sa Google noong Marso ng 2019, at sa sandaling napatunayan na ipasa ito sa Qualcomm. Inilahad ng Qualcomm ang mga kasosyo nito at ipinadala ang code upang i-patch ito noong Hunyo ng 2019, at ang bawat piraso ng chain ay na-patch sa code na ginamit sa August 2019 Android Security Bulletin.

Walang mga pagkakataon ng QualPwn na sinasamantala sa ligaw na naiulat. Inisyu din ng Qualcomm ang sumusunod na pahayag tungkol sa isyu:

Ang pagbibigay ng mga teknolohiya na sumusuporta sa matatag na seguridad at privacy ay isang prayoridad para sa Qualcomm. Pinupuri namin ang mga mananaliksik ng seguridad mula sa Tencent para sa paggamit ng mga kasanayan na nakasaad sa standard na pagsasaayos ng industriya sa pamamagitan ng aming Vulnerability Rewards Program. Ang Qualcomm Technologies ay naglabas na ng mga pag-aayos sa mga OEM, at hinihikayat namin ang mga end user na i-update ang kanilang mga aparato habang ang mga patch ay magagamit mula sa mga OEM.

Ano ang dapat kong gawin hanggang sa makuha ko ang patch?

Wala talagang anumang magagawa mo ngayon. Ang mga isyu ay minarkahan bilang Kritikal ng Google at Qualcomm at agad na na-patch, kaya ngayon kailangan mong maghintay para sa kumpanya na gumawa ng iyong telepono upang makuha ito sa iyo. Ang mga teleponong Pixel, tulad ng Pixel 2 at 3, kasama ang ilang iba pa mula sa Mahahalagang at OnePlus, mayroon nang magagamit na patch. Ang iba mula sa Samsung, Motorola, LG at iba pa ay malamang na magtatagal ng ilang araw sa ilang linggo upang maitulak sa mga telepono.

Samantala, sundin ang parehong pinakamahusay na kasanayan na dapat mong palaging ginagamit:

  • Palaging gumamit ng isang malakas na lock screen
  • Huwag sundin ang isang link mula sa isang taong hindi mo kilala at pinagkakatiwalaan
  • Huwag magsumite ng anumang mga personal na detalye sa mga website o apps na hindi mo pinagkakatiwalaan
  • Huwag kailanman ibigay ang iyong password sa Google sa sinuman bukod sa Google
  • Huwag ulit gamitin ang mga password
  • Palaging gumamit ng isang mahusay na tagapamahala ng password
  • Gumamit ng pagpapatunay na two-factor kapag maaari mo

Higit pa: Pinakamahusay na Mga Tagapangasiwa ng Password para sa Android noong 2019

Ang mga gawi na ito ay maaaring hindi mapigilan ang isang pagsasamantala sa kalikasan na ito, ngunit maaari nilang mabawasan ang pinsala kung ang isang tao ay makakuha ng ilan sa iyong personal na mga detalye. Huwag gawing madali para sa mga masasamang tao.

Darating ang maraming impormasyon

Tulad ng nabanggit, ang Tencent Blade Team ay ilalabas ang lahat ng mga detalye tungkol sa QualPwn sa panahon ng paparating na mga pagtatanghal sa parehong Black Hat 2019 at DEFCON 27. Ang mga kumperensyang ito ay nakasentro sa seguridad ng elektronikong aparato at madalas na ginagamit upang detalyado ang mga pagsasamantala tulad nito.

Kapag ang Tencent Blade ay nagbibigay ng higit pang mga detalye, malalaman namin ang higit pa tungkol sa kung ano ang magagawa namin upang mabawasan ang anumang mga panganib sa aming sariling mga telepono.

Kumuha ng Higit pang mga Pixel 3

Google Pixel 3

  • Ang Google Pixel 3 at 3 XL na pagsusuri
  • Pinakamagandang Pixel 3 Cases
  • Pinakamagandang Pix 3 XL Cases
  • Pinakamahusay na Pixel 3 Screen Protector
  • Pinakamahusay na Pixel 3 XL Screen Protector

Maaari kaming kumita ng komisyon para sa mga pagbili gamit ang aming mga link. Dagdagan ang nalalaman.

Balita

Pagpili ng editor