क्वालकॉम चिप बग एप सुरक्षा के लिए जोखिम पैदा करता है

Anonim
क्वालकॉम स्नैपड्रैगन 855

एक सुरक्षा बग को दर्जनों क्वालकॉम चिपसेट में दिखाया गया है जो आपके ऑनलाइन खातों तक चोरी करने में सक्षम एंड्रॉइड मालवेयर के लिए मार्ग प्रशस्त कर सकता है।

समस्या क्वालकॉम तकनीक से संबंधित है जिसे डिवाइस पर सुरक्षित रूप से निजी क्रिप्टोग्राफ़िक कुंजियों को संग्रहीत करने के लिए डिज़ाइन किया गया था। क्वालकॉम सिक्योर एक्ज़ीक्यूशन एनवायरनमेंट या क्यूएसईई चिप के एक अलग क्षेत्र में चाबियाँ रखकर ऐसा कर सकते हैं, जो मुख्य प्रोसेसर से अलग रहता है।

QSEE को अभेद्य होना चाहिए, तब भी जब Android ऑपरेटिंग सिस्टम से समझौता किया गया हो। लेकिन जाहिरा तौर पर क्वालकॉम का कार्यान्वयन सही नहीं है। साइबरसिटी फर्म एनसीसी ग्रुप के शोधकर्ता कीगन रेयान के अनुसार, क्यूएसईई के अंदर संग्रहीत निजी कुंजी को लीक करने के लिए आप वास्तव में सिस्टम में हेरफेर कर सकते हैं।

मंगलवार को, उन्होंने भेद्यता का दस्तावेजीकरण करते हुए एक पेपर प्रकाशित किया। हैक को दूर करने के लिए, रयान ने पाया कि वह क्यूएसईई के अंदर रखी निजी चाबियों को एक साथ रखने के लिए एक क्वालकॉम चिप की मेमोरी कैश का विश्लेषण कर सकता है। उन्होंने 14-घंटे की अवधि में मेमोरी कैश नमूने एकत्र करने के बाद नेक्सस 5X फोन से 256-बिट ईसीडीएसए कुंजी निकालकर यह प्रदर्शन किया।

रयान के अनुसार, एक हैकर सुरक्षा बग का इस्तेमाल कर सकता है कि कैसे मोबाइल ऐप हमें स्मार्टफोन पर साइन इन करें। पासवर्ड दर्ज करने के बाद, मोबाइल ऐप आम तौर पर एक क्रिप्टोग्राफ़िक कुंजी जोड़ी उत्पन्न करेगा, जिसका उपयोग यह साबित करने के लिए किया जा सकता है कि भविष्य के सभी लॉगिन प्रयास एक ही डिवाइस से आते हैं।

कुंजियों को निकालने के लिए हमलावर को क्वालकॉम द्वारा संचालित डिवाइस तक भौतिक पहुंच की आवश्यकता नहीं होती है। फोन के लिए रूट एक्सेस आवश्यक है, जिसे डिवाइस पर मालवेयर प्राप्त करके प्राप्त किया जा सकता है।

बेशक, किसी भी सफल मैलवेयर संक्रमण से सभी प्रकार के हाथापाई हो सकते हैं। लेकिन रयान ने कहा कि क्वालकॉम भेद्यता अभी भी खतरनाक है क्योंकि यह पहले से ही गंभीर हमले को बदतर बना सकता है। उन्होंने कहा, "हमलावर मालवेयर को एक बार चला सकता है, और चाबी निकाल सकता है। उनके पास अब (प्रमाणीकरण) हस्ताक्षर बनाने के लिए स्थायी और अप्रतिबंधित क्षमता है, " उन्होंने कहा।

अच्छी खबर यह है कि क्वालकॉम ने सुरक्षा बग, (CVE-2018-11976) को पैच कर दिया है, जो कि स्नैपड्रैगन चिपसेट को 820, 835, 845 और 855 सहित कई अन्य को प्रभावित करता है। मार्च 2018 में रेंस की कंपनी, एनसीसी ग्रुप, ने क्वालकॉम के बारे में बताया।

सम्बंधित

  • 2019 के लिए सर्वश्रेष्ठ मैलवेयर हटाने और संरक्षण सॉफ्टवेयर 2019 के लिए सर्वश्रेष्ठ मैलवेयर हटाने और संरक्षण सॉफ्टवेयर
  • डरावना हैकिंग खतरा: कैंसर को जोड़ने या हटाने के लिए एक्स-रे छवियों का संपादन करना कैंसर का हैक करने का खतरा: कैंसर को जोड़ने या हटाने के लिए एक्स-रे छवियों का संपादन करना
  • जासूसी के लिए हैकर्स's वेब की फोन बुक ’के साथ मेसिंग कर रहे हैं, हैकरेज के लिए हैकर्स's वेब की फोन बुक’ के साथ मैसेज कर रहे हैं

चिपमेकर ने कहा, "हम उनके सुरक्षा अनुसंधान के आसपास के जिम्मेदार प्रकटीकरण प्रथाओं का उपयोग करने के लिए एनसीसी समूह की सराहना करते हैं।" "क्वालकॉम टेक्नोलॉजीज ने पिछले साल के अंत में ओईएम (मूल उपकरण निर्माताओं) को फ़िक्सेस जारी किए, और हम अंतिम उपयोगकर्ताओं को अपने उपकरणों को अपडेट करने के लिए प्रोत्साहित करते हैं क्योंकि ओईएम से पैच उपलब्ध हो जाते हैं।"

एंड्रॉइड के अप्रैल सिक्योरिटी अपडेट के माध्यम से भी फिक्स रोल हो रहा है।