חוקרים ישראליים גילו חולשות אבטחה במעבדי סנאפדראגון, שנמצאים במיליוני מכשירי אנדרואיד

חוקרים של צ’ק פוינט הצליחו לפצח את ”הקופסאות השחורות” שנמצאות במעבדי Snapdragon של קוואלקום. תוקף שהיה מנצל את החולשה היה יכול לחגוג לכם על המכשיר

תמונה: Qualcomm

השבבים של קוואלקום נמצאים בכ-40% מכל הסמארטפונים שבעולם – שהם יותר ממיליארד סמארטפונים, ולכן הנזק של חולשת אבטחה אחת במעבדים שנמצאים בכל כך הרבה מכשירים יכול להגיע לתפוצה רחבה. אבל מה לגבי 400 חולשות?

איך אתם עם זה שכל המידע שלכם ייגנב, בלי שתדעו על כך?

חברת האבטחה הישראלית צ’ק פוינט מדווחת כי גילתה יותר מ-400 חולשות אבטחה על שבב שהוא חלק ממעבדי Snapdragon של החברה – הנמצאים במכשירים של יצרניות כמו גוגל, סמסונג (בארה”ב), וואן פלוס ושיאומי. חולשות האבטחה שמצאו בצ’ק פוינט היו חמורות ביותר ויכלו לתת לתוקפים גישה לכמות ענקית של מידע – מבלי שתדעו על כך.

במחקר שערכו ופרסמו בצ’ק פוינט תחת השם “אכילס” גילו החוקרים של החברה כי החולשות הרבות בקוד נמצאו ב-DSP, מעבד האותות הדיגיטליים הנמצא בשבבים של החברה, והן יכלו לתת לתוקפים גישה מלאה למידע על סמארטפונים מבלי ליצור אינטראקציה עם המשתמשים. ע”י ניצול החולשה, התוקפים יכלו לחלץ מהמכשירים תמונות, סרטונים, הקלטות של שיחות, האזנה בזמן אמת למיקרופון של המכשיר, נתוני מיקום ועוד.

בנוסף גילו החוקרים כי תוקפים יכלו באותה המידה גם לחסום את הגישה של משתמשים לכל אותו מידע שיכלו לגנוב מהמכשיר דרך חולשות האבטחה שהתגלו במעבד. על פי החוקרים, התוקפים יכלו להשתיל נוזקות או קוד זדוני במכשיר מבלי שהמשתמשים יוכלו להסיר אותו.

בצ’ק פוינט אומרים כי הציגו בפני קוואלקום את כל חולשות האבטחה שגילו, והיצרנית הכירה בהן מייד. בנוסף, בקוואלקום הפיצו את המידע הדרוש על חולשות האבטחה  ליצרניות הסמארטפונים שבמכשיריהן נמצאים מעבדים רלוונטיים לחולשות שנמצאו. עוד אמרו בצ’ק פוינט כי לא פרסמו את כל המידע הטכני על החולשות, עד שלא יגיעו עדכוני אבטחה כדי שלא לחשוף את המכשירים לתוקפים אפשריים.

כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים להצטרפות לערוץ הטלגרם שלנו לחץ כאן

מי אתה, DSP?

כל חולשות האבטחה שגילו החוקרים של צ’ק פוינט נמצאו ב-DSP, יחידת עיבוד האותות הדיגיטליים שבשבבי Snapdragon של קוואלקום – הבנויים יותר ממעבד בלבד. כל שבב של החברה, שהוא היום מה שנקרא SoC (או מערכת שבבים) ומורכבת מכמה רכיבים כמו יחידת העיבוד הראשית (CPU), מעבד גרפי (GPU) וגם החשוד המיידי במקרה שלנו – ה-DSP.

ה-DSP במעבדי קוואלקום משמש ללא מעט פעולות בזמן אמת כמו יכולות הקשורות לטעינה של המכשיר, וספציפית יכולות הטעינה המהירה של מעבדי קוואלקום – Quick Charge, עיבוד וידאו ויכולות AR, פיצ’רים הקשורים לשמע במכשיר ועוד.

הסכנה ב-DSP, כך מסבירים בצ’ק פוינט, היא העובדה שלמרות שהם מספקים שימושיות רבה, העובדה שהם מנוהלים ע”י “קופסאות שחורות” (מערכות שאופן פעולתן אינו גלוי, א.א.) הופכת אותם לוקטור תקיפה חדש וכפי שמציינים בצ’ק פוינט – מקור להרבה כאבי ראש עבור קוואלקום והמשתמשים הרבים בסמארטפונים עם המעבדים שלה.

בצ’ק פוינט הצליחו לפרוץ את אותן “קופסאות שחורות” שלכאורה רק לקוואלקום יש גישה אליהן, ולכן רק היא יכולה לתקן את הבעיות שבהן, וגילו את שלל חולשות האבטחה במעבדים הכי פופולריים בעולם. נקווה רק שבקוואלקום יפרסמו בהקדם עדכוני אבטחה לשבבים שבהם נמצאו החולשות, כי רק להם יש את היכולת לתקן את הבעיות.

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: Oshry@geektime.co.il

הגב

12 תגובות על "חוקרים ישראליים גילו חולשות אבטחה במעבדי סנאפדראגון, שנמצאים במיליוני מכשירי אנדרואיד"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
מהנדס בחיר
Guest

NSO רוצים לשחוט אותם עכשיו.
סתם שאלה מה האינטרס של החברות הללו לחשוף את החלושות, הן מקבלות על זה כסף ?

דויד
Guest

ברור! זה כמו שלטלגרם יש תחרות שאם מישהו מצליח לעשות decipher להודעות(שחכתי איך קוראים לזה בעברית) מקבל 300,000 דולר

ASD
Guest

עדיף שטלגרם יתחילו בלהצפין את ההודעות שלהם מקצה לקצה לפני שהם מתחילים לחלק כסף

אני
Guest

אם לחברה יש תוכנית תגמול – אז כן.
אבל חברות כמו צ׳קפוינט עושות את זה בעיקר בשביל למצב את עצמן כמובילות בתחום

עובד
Guest

כמובן שהצוות שחשף את זה מקבל סכום מסויים כמקובל. אבל החברה עושה את זה בעיקר לצרכי PR (Public Relations).

בצל שנון
Guest

oh SNAP!!

סטודי
Guest

בלינוקס זה לא היה קורה!
אהה, לא חשוב.

מתן
Guest

למה לא לרשום שחוקרים מצ’ק פוינט מצאו את זה גם בכותרת?

roei
Guest

כדי שתיכנס…

ASD
Guest

כי זה לא מידע כזה חשוב עד שיהיה בכותרת.

אאא
Guest

כי זה לא מעניין אף אחד

אור
Guest

פרסום מביא לקוחות

wpDiscuz

תגיות לכתבה: