Исследователи из компании Check Point обнаружили более 400 уязвимостей в чипах компании Qualcomm, которыми оснащены примерно 40% смартфонов в мире.
С помощью этих уязвимостей злоумышленники могут:
- превратить смартфон на Android в шпионский инструмент и получить доступ ко всей информацию, доступной на устройстве (фото, видео, записи разговоров, звук с микрофона в реальном времени, данные GPS, данные о местоположении и так далее);
- скрыть вредоносную активность малвари и другого вредоносного кода, сделав вредоносы практически неудаляемыми;
- заставить устройство перестать реагировать на команды, после чего вся информация, хранящаяся на этом телефоне, станет недоступна.
Доклад компании был представлен на конференции DefCon 2020. Эксперты говорят, что проблемы были обнаружены в цифровом сигнальном процессоре (digital signal processor, DSP), который можно найти почти в каждом Android-смартфоне в мире, включая устройства Google, Samsung, LG, Xiaomi, OnePlus и других вендоров.
Эксперты пишут, что уязвимости DSP — это отличная возможность для хакеров. Эти чипы –– новая поверхность для атак и слабое место мобильных устройств. Дело в том, что DSP более уязвимы, так как они управляются как «черные ящики». То есть всем, кроме производителя, крайне трудно проверить их функциональность и код. Специалисты Check Point использовали современные технологии тестирования, включая фаззинг, чтобы получить представление о внутреннем устройстве DSP.
Исследователи Check Point уже передали информацию о своих находках специалистам Qualcomm, и производитель чипов признал наличие уязвимостей, а также уведомил соответствующих поставщиков о проблемах. Уязвимостям были присвоены идентификаторы CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 и CVE-2020-11209.
Пока компания Check Point решила не публиковать полную техническую информацию об этих уязвимостях, давая производителям мобильных устройств возможность получить комплексное решение для исправления описанных проблем. Опубликовав ознакомительную статью об этих уязвимостях, специалисты лишь стремились привлечь внимание общественности к этим вопросам.
Представители Qualcomm уже прокомментировали ситуацию и сообщили, что сделали все, что в их силах, чтобы протестировать проблему и предоставить OEM-производителям соответствующие рекомендации по ее устранению. У компании нет никаких доказательств того, что обнаруженные уязвимости эксплуатировали злоумышленники.
Со своей стороны, уже Qualcomm выпустила исправление, но на момент написания (wccftech.com) оно не было отправлено ни на одно устройство Android в качестве обновления программного обеспечения или развернуто как часть кодовой базы Android в качестве патча. Google и Qualcomm не поделились планами относительно того, когда исправления будут выпущены для широкой публики. Учитывая количество процессоров, подверженных этим "ошибкам", патчи навряд ли получат все устройства.
В заявлении, предоставленном Ars Technica , Qualcomm заявила, что пока нет доказательств того, что уязвимости нашли реальное применение. Однако компания рекомендует пользователям устанавливать приложения только из надежных мест, таких как Google Play Store.
«Что касается уязвимости Qualcomm Compute DSP, обнаруженной Check Point, мы усердно работали, чтобы проверить проблему и предоставить OEM-производителям соответствующие меры по ее устранению. У нас нет доказательств того, что уязвимость в настоящее время эксплуатируется. Мы призываем конечных пользователей обновлять свои устройства по мере появления обновлений и устанавливать приложения только из надежных мест, таких как Google Play Store ».
Однако важно отметить, что Google Play Store на самом деле не гарантирует, что доступным в нем приложениям можно доверять, как мы уже много раз видели в прошлом, когда Play Store использовался для распространения вредоносных приложений среди миллионов пользователей. пользователи.
Вообще Google Play Store неизвестно зачем приплели, по сути даже патчи драйверов/ядра не могут полностью аппаратные закладки закрыть.
По тому и война с Huawei, что у них свои процессоры, без американских закладок. Пятиглазым неудобно стало.
Комментарии
Закладки в американских чипах традиционны. Думается их БОЛЬШЕ и труднее устранимы чем в китайских. Например память в чипе ЛЮБОМ можно использовать как детектор ионизирующих излучений как можно иметь данные как с датчиков вибраций, микрофонов не говоря об ЭМП с периферии и прочего. Это никак не отражается в документации на технику. К слову это в оба конца работает так что процессора пр-ва США это уязвимость сама по себе, по факту существования.
Как имеющий образование с выпускающей кафедры п/п и наноэлектроники Политеха в области разработки базовых основ полупроводниковых приборов и технологий и как делавший в т.ч. посткремниевые электронные приборы я знаю что можно иметь виртуальный прибор который вы никогда не засечёте и проявляться он будет лишь в определённых условиях. Например скидывать информацию об окружении где находится система или общаться с компьютерным оборудованием не будучи никак не подключён с формальным отсутсвием возможности передачи по ЭМИ и заизолирован от ПЭМИН. К примеру я нигде не видел защищённых носимых/возимых ПК, они ВСЕ имеют дыры начиная с клавиатуры даже имеющей пропиетарный кейгенератор. Можно иметь как минимум хоть как-то защищённый лэптоп с приличным 23-30 дюймов экраном защищённым от ПЭМИН и несанкционированного просмотра как по экрану так и по клавиатуре, кроме просмотра - если не вслепую печатать привыкли, полностью. Вес ориентировочно от 5кг с IP65 в пластике с медным экранированием простеньким с простеньким заземлением. Если полноценная искусственная земля требуется, работа буквально с колёс,скажем с заднего дивана легкового авто, вибронагрузки при работе высокие, то вес резко возрастёт, хотя и не так как обычно.
Отказ от кирин может быть помимо прессинга быть вызван американскии закладками на этапе проектирования - софт американский не был без закладок (ОС как минимум все) ещё до patriotic act/ Сервера IBM так могут пользоваться вдобавок ввиду более тесной интеграции с периферией ею как допустройствами получения информации как минимум. Т,е. если вы купили для ЦОД закрытого, банковского хранилища эту технику - вы попали. Если совсем всё жестко то эльки на древних техпроцессах и с аппаратными ништяками. Если не так сурово то они же но извне РФ. Применение ПО США и их союзников недопустимо для проектирования ответственных систем в целом.
А у нас даже операционки своей нет, вся надежда на Касперского!
О! Вы нашли друг друга. Не расставайтесь.
ОС Касперского не является даже полностью POSIX совместимой - там убраны элементы через которые может быть нарушена безопасность. Это UNIX- подобная ОС пропиетарная. с повышенными требованиями к безопасности - будет востребована безусловно от систем управления до сетевых устройств (где и нашла первую прописку), возможно серверов. Это ОС не для ПК, как я понял, а специализированная. Проблема с софтом очевидно будет. Думается с учётом разработчиков он будет вполне вменяемый для тех целей которые преследуется - прежде всего безопасность сетевой инфраструктуры и ЦОД определённых, например раздачи паролей.
Её бы с пропиетарным процессором +системами хранения скажем на голографии, полностью тут выполненых хотя бы на уровне 8С иметь для работы - КАД, системы анализа и офис, системы хранения версий чертежей и прочей документации - было бы весьма ценно и такая рабочая станция запросто под миллион может стоить на 4 процессорах с приличной памятью и вышеуказанным на шнурке ещё лучше на салазках вынимаемых хранилищем данных.
Так это пока, где-то пробегала информация, что есть задумка добавить ей оконный интерфейс, не помню где читал.
Было бы желание и заинтересованность государства!
Я думаю, там это всё уже закладывается.
Ребята из "Релэкс" https://relex.ru/ru/ говорили, что их СУБД Линтер интегрируют в эту операционку.
Но подробностей не сказали, все запросы, мол, к товарищу Касперскому...
В Омске ребята делают свои СХД на Эльбрусах:
Cистемы Хранения Данных https://bitblaze.ru
Сейчас говорить о суверенитете государства невозможно без суверенности и автохтонности элит и программно-аппаратных средств управления производственными процессами и критически важной инфраструктуры.
Так что интересная информация. Интересно когда компас добавят в полноценный пакет разработчика систем с моделированием и прочим? Решение весьма интересное для среднего и крупного производства. Для мелкого и SOHO придётся снижать стоимость минимально приемлемой рабочей станции до 200-250 тысяч рублей вместе с ПО - хотя бы с простым КАДом, системой анализа. Для профи на зарплате в 120-200тысяч в месяц и 800 тысяч рублей не критичная цена. Помнится как-то покупали и мне за 5К )по нынешним более 400 тысяч рублей) технику, я бы сказал начального уровня рабочку. Это ещё без софта стоящего дороже. Так что цена с софтом в 800к будет адекватной если возможности будут соответствовать цене и обеспечиваться требуемый уровень безопасности как рабочего места так и системы работы с документами, чертежами в рамках КБ или иной конторы в целом.
Стоимость геофизических данных и особенно выводов на всего 1-3 листках А4 может превышать стоимость всего парка приборов и транспортных средств в десятки и сотни раз. Я это знаю, т.к. отец был и есть ведущим геологом, когда-то и совладельцем фирмы. Воровство данных было и у меня и у него, потери в килограммы золотом эквивалента доходили. Так что безопастность это адекватно и актуально. От защищённых носителей до обработки информации. В одном из случаев сняли прямо с ноутбука дистанционно - он всего один раз воткнул флешку для того чтобы поправить доклад Заказчику. Также была утечка информации о моих разработках в гражданской области но могущих применяться как двойное. Что всплыло в США. То что продаётся под видом защищённых от ПЭМИН - полное г.
Старые трушные безопасники всё бегают со своими пэминами как .. с писаной торбой. Какой идиот будет тырить данные таким сложным способом, когда есть варианты на порядки дешевле? Сейчас устройство без подключения к сети практически бесполезно. А будучи подключенным как раз и начинают работать программно\аппаратные дыры, через которые все и крадется.
POSIX - это международный стандарт на интерфейс, API, управление Unix-подобных систем. Отсутствие POSIX совместимости практически ни на что не влияет, кроме вопросов совместимости. Вряд ли Каспер делал свои ОС с нуля, как и все взял Linux за основу. а Linux с POSIX совместим, только не все версии сертификацию проходили, потому что им это нафиг не надо было.
Не то что не линукс а даже не юникс. Вроде как. Сейчас три года как прошли можно о том говорить.
Хрен Вам!
Били себя в грудя, что всё своё с нуля, без всяких заимствований!
В силу лицензии ядра линукса любой софт, на нем основанный, должен быть свободно открытым. GPL2 такой, знаете ли, копилефт...
Однако есть ещё BSD…
Ядро линукса под gpl2. Об нём шла речь.
Но да, касперский мог взять ядро BSD. Как сделали в Континенте.
А чем открытость мешает инфобезопасности? Тем, что покупать не будут? Нормальные люди все это давным давно обошли путем платной поддержки.
Стесняюсь спросить: «касперский» — это те профессионалы от информационной безопасности, что распространяют востребованные рыночком сказки о двухфакторной авторизации?
И это, особенно если дополнить многолетней неспособностью асилить *правильную* инструкцию по установке *продаваемых* поделий, собственно — приговор всем прочим потугам в области ИБ…
Насколько понял разработчиков группа совсем сбоку где-то. И это хорошо.
Лаборатория Касперского на прошлом OS Day толкала доклад со слайдами на английском языке про то, что защищённость определяется не отсутствием дыр, а наличием стратегии по реакции на угрозы. Это всё, что нужно знать об их "надёжности". Ежу понятно, что конторе, которая специализируется на продаже антивирусов, не нужны системы без дыр.
И ещё вопрос, кто пишет новые вирусы для этих антивирусов. Как говорится, "кому выгодно?".
Систем без дыр не существует. Касперы совершенно правильно говорят, что проблема не столько в дырах, сколько в механизмах противодействия взломам. Персонал должен понимать, что ему делать, если что-то пошло не так.
А дыры часто бывают очень не очевидны. Heartbleed который случился 8 лет назад. Ошибка в реализации библиотеки с открытым кодом OpenSSL, на которую смотрели сотни тысяч человек и только один сказал: Постойте-ка, а ведь тут есть опасная ошибка. Все лихорадочно бросились затыкать дыру, потому что OpenSSL использовали все. Hewlett-Packard выпускал апдейты на iLO для серверов 10-15 летней давности, настолько это было серьезно. Остальные - IBM, Dell - аналогично.
И это был хороший камень в практику открытого ПО "миллионы глаз не пропустят ошибку". Мало иметь глаза надо иметь квалификацию, чтобы её заметить.
А ещё «касперы» наверное тоже «правильно» говорят: наковыряйте дыр и уязвимостей, чтобы *проданное* (!) поделие смогло работать и тогда мы «защитим» вас. Видимо от следствий компромиссов для запуска их поделия.
Знание конечно дело полезное… Но тут, внезапно, *необходимы* навыки, слабо пересекающиеся с эксплуатацией зловреда.
Касаемо же Heartbleed я просто напомню куда более характерную, но совершенно не афишируемую историю с патчиком той же библиотечки в OpenBSD (!).
Про HP и iLO можно тоже очень много интересного рассказать.
В плане… особенностей реализации.
ЗЫ: Наличие квалификации не является достаточным условием.
ЗЗЫ: И расскажите о перспективах аналогичного аудита ППО.
Что уж так однобоко? Не только касперы, но и остальные компании говорят: Если вы в курсе ваших дыр, то сообщите, в продукт добавим необходимые настройки и работать будет только лучше. Если не в курсе, давайте сделаем пен-тест. Это испытания приближенные к реальным, когда защитное ПО атакуется без причинения вреда, но известные дыры - вылазят. Пен-тест стоит денег, но иногда его делают бесплатно. Потому что результаты обычно такие, что волосы у безопасников предприятия становятся дыбом. Все результаты пентеста обсуждаемы.
Есть еще более пакостные вещи. Стоит себе производственная система управления, уже не новая, без контракта на сопровождение. Не патчилась пару тройку лет. Пентест показывает на ней наличие уязвимостей. Первая реакция обратиться к продавцам и производителю ПО. Пусть это будет, например, одна известная немецкая компания, а производитель через продавца отвечает, что исправлений под эту версию делаться не будет. Хотите исправлений? Купите новую версию, там эти уязвимости закрыты. Он при этом не говорит, какие добавились новые, потому что еще сам не знает.
Positive например на своих фаерволах для производств имеет практику использования, так называемых софт-патчей, которые закрывают вендорские дыры своими способами.
heartbleed вылез везде, его затыкали не только в OpenBSD. Шума большого никто не устраивал, но кто надо быстро всё поняли. HP просто по тихому зарелизил критичное обновление, как обычно написав "при совпадении некоторых обстоятельств возможна компрометация пользовательских данных", первым признаком что что-то сильно пошло не так, был перечень затронутых серверов - практически вся линейка, включая очень старые, емнип, с Gen2 начиная.
Сейчас на iLO свежие патчи висят, на Gen 10, тоже критические. Надо патчить. Описания тоже без больших подробностей.
То есть по факту: сначала заплатите за *товар*, а потом ещё принести денежков (ибо деньги суть знак труда в специфической для человека форме) за доведение оного до ума.
Касаемо предлагаемой методики тестирования я бы Вам категорически рекомендовал зачитать руководство господина Фокса. Не забывая смотреть на время написания.
ЗЫ: Как последовательно Вы убегаете от знания поучительной истории OpenBSD.
ЗЗЫ: И вернитесь к руководству господина Фокса. Ибо механизмы распространения патчей тем же HP — это натурально прошлый век.
Отдельно могу напомнить впечатления реального пользователя… продукции HP.
Можно заплатить денег за товар, получить лицензии, а также ПО из коробки. Настройку заказчик может делать самостоятельно, своими силами, только как показывает практика КПД такой работы - на уровне паровоза.
Проекты по информационной безопасности на больших предприятиях, в чем-то сходны с проектами по внедрению ERP там же - большой объем кастомизации. Либо оплачиваешь работу по внедрению стороннего подрядчика (не обязательно продавца ПО) и пользуешься продуктом с минимальными временными затратами, либо делаешь всё сам, а значит это не будет нормально внедрено никогда. Проходили уже.
Меня мало интересует OpenBSD, я с ней работал на заре туманной юности, единожды настроив её как почтовый сервер для организации, на этом мой опыт с ней закончился, и на сегодняшний день он равен нулю. Какой из неё полезный опыт был - мне неведомо, да и не нужно. Можете рассказать, если это важно.
Можем с вами обменяться мнениями по продукции HP. Я также ее реальный пользователь. Сотни серверов через меня прошли, самых разных поколений. До сих пор эксплуатируем. В том числе и сетевое оборудование, и рабочие станции и печать. Есть за что поругать, есть за что похвалить. Всё как у всех.
Хотите поговорить об этом?
Существуют. Только взаимодействие с внешним миром у них ограничено. На самом деле, если для любого внешнего запроса обработка пишется с учётом безопасности, то получается безопасная система. Например, таковой является qmail.
Разумеется. Для меня открытое ПО — это в первую очередь возможность модификации программы силами пользователя. Хоть Linux хоть 1С.
Надуем вашу лошадь за 25 грамм золота!:) будет как новая!
Какой-то лютый тяжёлый бред.
Вы привели тут простынку от программистов, которые не разбираются ни в РД по защите информации, ни в практике защиты информации, ни в тендерах. Зато болеют за постоянные обновления и актуальность всего и вся. У меня старший сын этим в детстве переболел, когда с компьютерами работать научился - все бегал по устройствам и требовал немедленно обновить ПО и ОС до последней версии. Потому что реклама требует, чтобы все было наиновейшим!
То, что эти ребята написали, следует читать так: у России нет своей актуализированной ОС, то есть, ОС, отвечающей требованиям действующего рынка с лагом не более полугода. Ну да, нет. Это дорого и вне рамок маркетинга не актуально.
А свои ОС у нас есть. Это как раз те, что имеют сертификат. Да, их актуальность по меркам маркетологов и бегущих за ними программистов чудовищна, это годы. Но они имеют другую задачу: максимально уберегать информацию от внешнего воздействия.
Постоянное обновление ПО и ОС (да ещё от разных производителей) и защита информации, в настоящее время, противоречащие друг другу процессы.
Просто они пишут свои системы видеоаналитики с использованием ИИ и прочий софт систем безопасности.
Всё это работает под виндой.
Когда столкнулись с требованием использования Astra Linux, вырвался крик души...
Вместо того, чтобы развивать функционал, ковыряние в софте, работающем через ж..
Крик души, это понятно. Если я верно понял ситуацию, им придется программировать не только саму систему, но и движок под неё, потому что под Винду эти движки лепят промышленно, а под Астру их нет :) Возможно, они при этом также попали на деньги и сроки (если контракт уже есть и они плохо прочитали ТЗ перед подписанием).
Но это не отменяет того, что крик их пискляв из-за слабого владения РД по безопасности информации и вытекающих из них правилах и решениях. И потому что в тендерных процедурах они разбираются на уровне не выше "прочитал".
"Свои оси" у нас - QP ОС и Багет. Остальное - это перепилы американщины. И то, в этих своих осях нет своего компилятора (Криптософт начал для себя делать, но не доделал). А дыра в компиляторе - дыра во всей системе.
Чей компилятор используют для ОС Эльбрус?
LCC с фронтендом от Edison Design Group.
Видел я как-то процесс аудита товарного (!) *сертифицированного* (!!!) решения СКЗИ под самую распространённую ОС…
Хотя стремление к абстракции от скучной рутины и восходит к истокам второй сигнальной…
Но не надо набрасывать (напоминаю, что под набросом понимается постулирование желаемого).
Понятия "Устареший Линукс" - просто не может существовать в природе.
Вы себя скомпрометировали перепостом глупостей про Астру.
А в чём глупости, в чём автор статьи не прав?
https://kiwibyrd.org/2020/05/16/20h52/
Надеюсь, китайчики отказались от Кирин с целью внедрить что-то куда более продвинутой, защищённом от любопытных глаз и ушей пиндосов. Так сказать, отказ от пиндосских технологий на более "низкоуровневом" этапе выпуска устройств.
У них есть для офисных и приличных ноутов на MIPS 64:
https://overclockers.ru/hardnews/show/94640/provedeno-sravnitelnoe-testi...
Думается будут занимать ту же нишу что Cyrix с 6х86 в 1995-96 годах. Бюджетно и вполне производительно для ПК и отчасти ноутбуков а вот для даже тонких ноутбуков и планшетов придётся браться лицензирование и вкладываться в разработки по Эльбрусам. Это точно надёжнее. Восточный момент украсть тут не прокатит - Хуавэй несколько лет назад застукали на промшпионаже в ИПС Алаймазяна. Так что не парясь пусть платят непосредственно разработчикам и будет хорошо и нам и им. В РФ пойти сможет хотя бы для 7нм технология.
Смешат эти потуги сделать приличное лицо - называя словом "уязвимости" обнаруживаемый функционал в заведомо продуманной под шпионаж архитектуре.
Безусловно - если вам доороги ваши данные не берите процессора США и их союзников - вашими данными будут торговать как те же поисковые системы делают и ОСи. Постоянно сталкиваюсь с предложениями даже если в поисковый их не вбивал. Т.е. следит браузер и/или ОС.
Интересуюсь моментом. Я пенсионэр,имею одну карту сбера с суммой на покупки в пределах 6-7 т.р. Кому нужны мои персональные данные? Имею ноутбук - вопрос прежний. А ведь таких пенсов в стране миллионы.
Сбебанк онлайн со всеми вкладами. Таких то же миллионы, а если война и экономические диверсии как метод ведения?
Ответ не полный. СБ-онлайн у меня нет.
Наслаждайтесь, пока медкарточки не ввели. Вам хотелось бы иметь медкарту с доступом Микрософта? С возможностью правки оной и удаления из за окияна? Свое должно быть!
Речь не о нас. А Вам нужно МИР заводить для получения пенсии. Вроде с октября только на неё. Я уже оформил переброс с Визы на Мир на онлайн ПФР. Этой картой в инете не свечу. Когда надо, перевожу бабки на Визу (доп. Виза у жены) Удобно. :)
Пенсия приходит в СБ на книжку (аж с 1989г), снимаю нал и часть кладу на карту Мир. Чем не вариант? Карту для пенсии не обязывают пока,,только новым пенсам обязом.
Это смотря где работал до пенсии. А может родственники, друзья, знакомые в интересных местах работают.
Минобороны СССР.
т.е. никого не беспокоит, что на чипе собственно процессор и выполняемая на нем операционная система гости? что при подаче питания стартует сначала графическое ядро со своей собственной операционкой и только потом под ее контролем запускается все остальное? что в отличии от основной оси этот код контролируется только разработчиком железа.
никого не беспокоит существование наглухо закрытого кода загрузчика trusted zone, который также контролирует все операции в системе?
Вы от кого именно ожидаете беспокойства ?
От обычных домохозяек и обычных обывателей ?
Им вообще пофигу - их никто специально отслеживать и направленно собирать на них данные не станет.
Про специалистов ? Беспокоит. вероятно, но какую именно реакцию от них ожидаете ? Что прибегут на АШ с воплями что ли ?
Страницы