Breaking News
Home / Джаджи / Над милиард устройства с Android са застрашени от кражба на данни

Над милиард устройства с Android са застрашени от кражба на данни



Милиард или Според доклади тази седмица, повече устройства с Android са уязвими за хакове, които могат да ги превърнат в шпионски инструменти, като използват повече от 400 уязвимости в чипа Snapdragon на Qualcomm.

ARS TECHNICA

Тази история първоначално се появи на Ars Technica, надежден източник за новини в технологиите, анализ на технологичните политики, прегледи и др. Ars е собственост на компанията-майка WIRED ̵

1; Condé Nast.

Уязвимостите могат да бъдат използвани, ако дадена цел изтегли видео или друго съдържание, което се изобразява от чипа. Целите могат да бъдат атакувани и чрез инсталиране на злонамерени приложения, които изобщо не изискват разрешения.

Оттам нападателите могат да наблюдават местоположенията и да слушат наблизо аудио в реално време и да ексфилтрират снимки и видеоклипове. Експлоатациите също позволяват да се направи телефона напълно бездействащ. Инфекциите могат да бъдат скрити от операционната система по начин, който затруднява дезинфекцията.

Snapdragon е така наречената система на чип, която осигурява голям брой компоненти като процесор и графичен процесор. Една от функциите, известна като цифрова обработка на сигнали или DSP, изпълнява голямо разнообразие от задачи, включително функции за зареждане, както и видео, аудио, разширена реалност и други мултимедийни функции. Производителите на телефони също могат да използват DSP за стартиране на специални приложения, които дават възможност за персонализирани функции.

“Въпреки че DSP чиповете представляват сравнително икономично решение, с което мобилните телефони могат да предлагат на крайните потребители повече функционалност и иновативни функции, те идват на цена”, написаха изследователи от охранителната компания Check Point в кратък доклад за откритите уязвимости. „Тези чипове носят нови атакуващи повърхности и слаби точки в тези мобилни устройства. DSP чиповете са много по-уязвими от риска, тъй като се управляват като „черни кутии“, тъй като може да бъде много сложно за всеки друг, освен производителя, да прегледа дизайна, функционалността или кода си. “

Qualcomm пусна актуализация за бъговете, но тя все още не е вградена в операционната система Android или което и да е Android устройство, използващо Snapdragon, според Check Point. Когато попитах кога Google може да добави кръпките на Qualcomm, говорител на компанията каза да провери с Qualcomm. Производителят на чипове не отговори на заявка по имейл.

Check Point отказва техническите подробности за уязвимостта и нейната експлоатация, докато на устройствата на крайните потребители не са налични поправки. Check Point кръсти уязвимостите Achilles. Повече от 400 различни грешки се проследяват като CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 и CVE-2020-11209.

В изявление служителите на Qualcomm казаха: „По отношение на уязвимостта, разкрита от Check Point, свързана с Qualcomm Compute DSP, ние работихме внимателно за валидиране на проблема и предоставяне на подходящи коригиращи действия на OEM производители. Нямаме доказателства, че в момента се експлоатира. Насърчаваме крайните потребители да актуализират своите устройства, тъй като пачовете станат достъпни и да инсталират приложения само от надеждни места, като например Google Play Store. “

Snapdragon се намира в около 40 процента от телефоните по целия свят, според Check Point. С приблизително 3 милиарда устройства с Android това са повече от милиард телефони. Snapdragons са вградени в около 90 процента от устройствата на американския пазар.

Налични са много полезни ръководства, които да помогнат за защита на потребителите от тези подвизи. Изтеглянето на приложения само от Play може да помогне, но опитът на Google за преглед на приложения показва, че съветите имат ограничена ефективност. Също така няма начин да се идентифицира ефективно мултимедийно съдържание, обхваната от буби.

Тази история първоначално се появи на Ars Technica.


Още страхотни WIRED истории


Source link