DEF CON 7月に、クアルコムのSnapdragonシステムオンチップを搭載した数百万台のスマートフォンのメーカーは、すべてクアルコムの技術によってもたらされた自社製品の一連のセキュリティ上の欠陥に対処するための緩和勧告を受け取った。
世界中の携帯電話の 40% 以上に影響を与える可能性があるとみられるこれらのソフトウェア レベルの脆弱性は、今週、現在はバーチャルとなっているハッキング カンファレンス DEF CON で概要が説明された。
チェック・ポイント・リサーチの情報セキュリティ専門家は木曜日、クアルコムのSnapdragonチップファミリーのデジタル信号処理(DSP)コアを制御するコードに400件以上のプログラミングミスを発見したと報告した。これらのエンジンは、膨大な数のAndroidスマートフォンにおいて、画像、音声、その他の情報処理を高速化している。
DEF CONで脆弱性について語ったCheck PointのSlava Makkaveev氏によると、この欠陥は、DSPエンジンをプログラムしてタスクを実行するために使用されるQualcommのHexagon SDKに関連しているとのことだ。
世界が狂気に陥る中、変わらないものがあるのは良いことだ:毎月のAndroidパッチ
続きを読む
私たちの知る限りでは、Qualcomm のコード署名チェックを回避でき、悪意のある Android アプリが DSP 上で任意の命令を実行し、そこからデバイス全体を制御できるようになるようです。
クアルコムの修正プログラムを実装・展開する時間を確保するため、技術的な詳細は公表されていない。これには時間がかかるだろう。チェック・ポイントは、これらの脆弱性が悪用され、不正なアプリケーションがデバイスからデータを盗み出したり、通信を盗聴したり、携帯端末をクラッシュさせたり、任意のコードを実行したりする可能性があると主張している。
特定されたバグのすべてが危険なわけではありませんが、6つの個別のCVE(CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209)を付与するのに十分なものです。Check Pointは、Qualcommの調査をまとめて「Achilles(アキレス)」と呼んでいます。これは、CVEをいくつも挙げるよりも記憶に残りやすいからです。
クアルコムの広報担当者はThe Registerへの声明で、この米国のチップ設計企業はセキュリティとプライバシーをサポートする技術の提供に尽力していると主張した。「チェック・ポイント社が公表したクアルコムのCompute DSPの脆弱性に関しては、当社は問題の検証に尽力し、OEM各社に適切な緩和策を提供してきました」と広報担当者は述べた。「現在、この問題が悪用されているという証拠はありません。」
クアルコムの広報担当者は、モバイル デバイスのユーザーに対し、ソフトウェア アップデートが利用可能な場合は適用し、信頼できるソースからのアプリケーションのみをインストールするよう、何らかの理由で Google Play ストアを例に挙げて強く勧めました。®
