Google'ın ve telefon üreticilerinin Qualcomm tarafından hata ve çözümü hakkında bir açıklama yapılmadı
Araştırmacıların bu hafta bildirdiğine göre, bir milyar veya daha fazla Android cihazı, Qualcomm'un Snapdragon çipindeki 400'den fazla güvenlik açığından yararlanarak onları casusluk araçlarına dönüştürebilecek saldırılara karşı savunmasız durumda.
Güvenlik açıklarından, bir hedef çip tarafından oluşturulan bir videoyu veya başka bir içeriği indirdiğinde yararlanılabilir. Hiçbir izin gerektirmeyen kötü amaçlı uygulamalar yüklenerek de hedeflere karşı savunmasız durumda.
Snapdragon, bir CPU ve bir grafik işlemci gibi bir dizi bileşen sağlayan bir çip üzerindeki sistem olarak bilinir. Dijital sinyal işleme veya DSP (Dijital Sinyal İşleme) olarak bilinen işlevlerden biri, şarj etme yetenekleri ve video, ses, artırılmış gerçeklik ve diğer multimedya işlevleri gibi çeşitli görevleri yerine getirir. Telefon üreticileri, özel özellikleri etkinleştiren özel uygulamaları çalıştırmak için DSP'leri de kullanabilir.
Yeni saldırı yüzeyi
Güvenlik firması Check Point'ten araştırmacılar, keşfettikleri güvenlik açıklarına ilişkin kısa bir raporda, "DSP yongaları, cep telefonlarının son kullanıcılara daha fazla işlevsellik sağlamasına ve yenilikçi özellikleri etkinleştirmesine olanak tanıyan nispeten ekonomik bir çözüm sağlarken, bunun bir bedeli var" diye yazdı. "Bu çipler, bu mobil cihazlara yeni saldırı yüzeyi ve zayıf noktalar getiriyor. DSP çipleri, 'Kara Kutular' olarak yönetildikleri için risklere karşı çok daha savunmasızdır çünkü imalatçıları dışında herhangi birinin tasarımlarını, işlevlerini veya kodlarını gözden geçirmesi çok karmaşık olabilir. "
Check Point, Qualcomm'un kusurlar için bir düzeltme yayınladığını, ancak şu ana kadar Android işletim sistemine veya Snapdragon kullanan herhangi bir Android cihaza dahil edilmediğini söyledi. Google'ın Qualcomm yamalarını ne zaman ekleyebileceğini konusunda, yonga üreticisi, konu ile ilgili sorulara ise şimdilik yanıt vermedi.
Check Point, güvenlik açıklarıyla ilgili teknik ayrıntıları ve düzeltmeler son kullanıcı cihazlarına girene kadar bunların nasıl yararlanılabileceğini saklıyor. Check Point, güvenlik açıklarını Achilles olarak adlandırdı. 400'den fazla farklı hata CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 ve CVE-2020-11209 olarak belirtildi.
Qualcomm yetkilileri bir açıklamada şunları söyledi: "Check Point tarafından açıklanan Qualcomm Compute DSP güvenlik açığı ile ilgili olarak, sorunu doğrulamak ve OEM'ler için uygun azaltıcı önlemleri sağlamak için özenle çalıştık. Şu anda istismar edildiğine dair hiçbir kanıtımız yok. Son kullanıcıları, yamalar kullanıma sunulduğunda cihazlarını güncellemelerini ve yalnızca Google Play Store gibi güvenilir konumlardan uygulamaları yüklemelerini öneririz. "
Check Point, Snapdragon'un dünya çapındaki telefonların yaklaşık yüzde 40'ına dahil olduğunu söyledi. Tahminen 3 milyar Android cihazla bu, bir milyardan fazla telefon anlamına geliyor. ABD pazarında Snapdragons, cihazların yaklaşık yüzde 90'ına yerleştirilmiştir.
Kullanıcıların bu istismarlara karşı kendilerini korumaları için pek yararlı bir rehberlik yoktur. Uygulamaları yalnızca Play'den indirmek yardımcı olabilir, ancak Google'ın uygulama incelemesi konusundaki geçmiş geçmişi, tavsiyelerin sınırlı etkinliğe sahip olduğunu gösteriyor. Ayrıca bubi tuzağına düşen multimedya içeriğini etkili bir şekilde tanımlamanın bir yolu yok gibi görünüyor.
Qualcomm ve Google bu süreçte ne tür bir aksiyon alacağı ise merak konusu.
Comments