Lỗ hổng trong chip Qualcomm khiến hàng triệu Smartphone có thể bị mất quyền kiểm soát

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi Thriuenug, 07/08/20, 07:08 PM.

  1. Thriuenug

    Thriuenug Moderator Thành viên BQT

    Tham gia: 29/08/19, 03:08 AM
    Bài viết: 31
    Đã được thích: 15
    Điểm thành tích:
    8
    Qualcomm vừa vá nhiều lỗ hổng trong các chip Snapdragon của mình, có thể khiến nhiều smartphone có nguy cơ bị tấn công.
    Các dòng điện thoại của Google, LG, OnePlus, Samsung và Xiaom có khả năng bị xâm nhập sau khi 400 đoạn mã tồn tại lỗ hổng được phát hiện trên chip xử lý tín hiệu số (DSP) của Qualcomm, chạy trên 40% thiết bị Android toàn cầu.
    syme-intro.jpg
    Các lỗ hổng do hãng bảo mật CheckPoint phát hiện. Hãng này cho biết, để khai thác lỗ hổng, hacker sẽ thuyết phục người dùng cài đặt một ứng dụng đơn giản, “lành” và không yêu cầu quyền truy cập.
    Chuyên gia Yaniv Balmas của Check Point cho biết, các lỗ hổng bảo mật khiến các smartphone nguy cơ bị điều khiển và dùng để theo dõi người dùng, bị cài đặt các phầm mềm và mã độc ẩn, thậm chí mất quyền kiểm soát.
    Mặc dù lỗ hổng đã được thông báo đến công ty Qualcomm và hãng đã thừa nhận vấn đề này cũng như thông báo cho các nhà cung cấp có liên quan và đưa ra một số cảnh báo cho các lỗi như CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE -2020-11208 và CVE-2020-11209, tuy nhiên do phạm vi ảnh hưởng lớn nên có thể mất vài tháng hoặc thậm chí vài năm để khắc phục vấn đề.
    Theo Balmas: “Hàng triệu điện thoại vẫn tồn tại lỗ hổng bảo mật này. Bạn có thể bị theo dõi cũng như có thể mất tất cả các dữ liệu của mình. Nghiên cứu của chúng tôi cho thấy có một hệ sinh thái phức tạp trong thế giới di động. Với một chuỗi cung ứng dài được tích hợp vào từng chiếc điện thoại, việc tìm ra những vấn đề ẩn sâu trong điện thoại di động không phải là chuyện nhỏ, và cũng không đơn giản để khắc phục chúng”
    Lỗ hổng DSP là cách thức tấn công mới "nghiêm trọng" của tội phạm mạng, khởi đầu cho các kiểu tấn công surface và điểm yếu nhằm vào thiết bị bị ảnh hưởng. Chip DSP được Qualcomm quản lý bằng “Black Boxes” (Hộp đen) nên có thể rất phức tạp đối với bên ngoài khi đánh giá thiết kế, chức năng hoặc mã code. Vì vậy, dòng chip này có nguy cơ tồn tại lỗ hổng cao hơn.
    CheckPoint cho rằng việc công bố chi tiết kỹ thuật của lỗ hổng là chưa cần thiết vì hacker có thể lợi dụng để khai thác lỗ hổng. Do đó, người dùng sẽ phải đợi các nhà cung cấp liên quan tiến hành các bản vá lỗi hoặc sử dụng giải pháp bảo vệ thiết bị di động của bên thứ ba.
    Người phát ngôn của Qualcomm cho biết: “Cung cấp các công nghệ hỗ trợ bảo mật và quyền riêng tư tối đa là ưu tiên của Qualcomm. Về lỗ hổng Qualcomm Compute DSP được Check Point tiết lộ, chúng tôi đang cố gắng làm việc để xác minh vấn đề và đưa ra các biện pháp thích hợp cho các OEM”.
    Hiện chưa có bằng chứng lỗ hổng bị khai thác trên thực tế. Qualcomm khuyến cáo người dùng cần cập nhật thiết bị khi có bản vá và chỉ tải ứng dụng từ những nơi đáng tin cậy như Google Play Store.
     
    Chỉnh sửa cuối: 07/08/20, 08:08 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    lapduc thích bài này.
  2. AlexanderHaiYen

    AlexanderHaiYen Member

    Tham gia: 25/03/20, 11:03 AM
    Bài viết: 7
    Đã được thích: 0
    Điểm thành tích:
    1
    Bphone và Vsmart cũng dính à {6}{6}{6}
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. ThangManhDo

    ThangManhDo New Member

    Tham gia: 11/01/17, 04:01 PM
    Bài viết: 2
    Đã được thích: 1
    Điểm thành tích:
    1
    Hiện tại chưa có thông tin là BPhone và Vsmart có lỗ hổng này.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. nǝıH
  2. WhiteHat News #ID:2112
  3. Testthuthoi
  4. DDos
  5. Sugi_b3o