Tin An Ninh Mạng

Lỗ hổng trong chip Qualcomm khiến hàng triệu Smartphone có thể bị mất quyền kiểm soát

Qualcomm vừa vá nhiều lỗ hổng trong các chip Snapdragon của mình, có thể khiến nhiều smartphone có nguy cơ bị tấn công.
Các dòng điện thoại của Google, LG, OnePlus, Samsung và Xiaom có khả năng bị xâm nhập sau khi 400 đoạn mã tồn tại lỗ hổng được phát hiện trên chip xử lý tín hiệu số (DSP) của Qualcomm, chạy trên 40% thiết bị Android toàn cầu.


{

}

syme-intro.jpg

Các lỗ hổng do hãng bảo mật CheckPoint phát hiện. Hãng này cho biết, để khai thác lỗ hổng, hacker sẽ thuyết phục người dùng cài đặt một ứng dụng đơn giản, “lành” và không yêu cầu quyền truy cập.
Chuyên gia Yaniv Balmas của Check Point cho biết, các lỗ hổng bảo mật khiến các smartphone nguy cơ bị điều khiển và dùng để theo dõi người dùng, bị cài đặt các phầm mềm và mã độc ẩn, thậm chí mất quyền kiểm soát.
Mặc dù lỗ hổng đã được thông báo đến công ty Qualcomm và hãng đã thừa nhận vấn đề này cũng như thông báo cho các nhà cung cấp có liên quan và đưa ra một số cảnh báo cho các lỗi như CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE -2020-11208 và CVE-2020-11209, tuy nhiên do phạm vi ảnh hưởng lớn nên có thể mất vài tháng hoặc thậm chí vài năm để khắc phục vấn đề.
Theo Balmas: “Hàng triệu điện thoại vẫn tồn tại lỗ hổng bảo mật này. Bạn có thể bị theo dõi cũng như có thể mất tất cả các dữ liệu của mình. Nghiên cứu của chúng tôi cho thấy có một hệ sinh thái phức tạp trong thế giới di động. Với một chuỗi cung ứng dài được tích hợp vào từng chiếc điện thoại, việc tìm ra những vấn đề ẩn sâu trong điện thoại di động không phải là chuyện nhỏ, và cũng không đơn giản để khắc phục chúng”
Lỗ hổng DSP là cách thức tấn công mới “nghiêm trọng” của tội phạm mạng, khởi đầu cho các kiểu tấn công surface và điểm yếu nhằm vào thiết bị bị ảnh hưởng. Chip DSP được Qualcomm quản lý bằng “Black Boxes” (Hộp đen) nên có thể rất phức tạp đối với bên ngoài khi đánh giá thiết kế, chức năng hoặc mã code. Vì vậy, dòng chip này có nguy cơ tồn tại lỗ hổng cao hơn.
CheckPoint cho rằng việc công bố chi tiết kỹ thuật của lỗ hổng là chưa cần thiết vì hacker có thể lợi dụng để khai thác lỗ hổng. Do đó, người dùng sẽ phải đợi các nhà cung cấp liên quan tiến hành các bản vá lỗi hoặc sử dụng giải pháp bảo vệ thiết bị di động của bên thứ ba.
Người phát ngôn của Qualcomm cho biết: “Cung cấp các công nghệ hỗ trợ bảo mật và quyền riêng tư tối đa là ưu tiên của Qualcomm. Về lỗ hổng Qualcomm Compute DSP được Check Point tiết lộ, chúng tôi đang cố gắng làm việc để xác minh vấn đề và đưa ra các biện pháp thích hợp cho các OEM”.
Hiện chưa có bằng chứng lỗ hổng bị khai thác trên thực tế. Qualcomm khuyến cáo người dùng cần cập nhật thiết bị khi có bản vá và chỉ tải ứng dụng từ những nơi đáng tin cậy như Google Play Store.

Bphone và Vsmart cũng dính à {6}{6}{6}
Bphone và Vsmart cũng dính à {6}{6}{6}

Hiện tại chưa có thông tin là BPhone và Vsmart có lỗ hổng này.

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !