クアルコムSnapdragonのチップであるDigital Signal Processor(DSP)チップには複数のバグが指摘されています。これにより、攻撃者は、ユーザーの操作なしにスマートフォンの40%以上を制御し、ユーザーを監視し、検出を回避する削除不能なマルウェアが作成できます。
デジタルシグナルプロセッサ(DSP:digital signal processor)は、オーディオ信号とデジタル画像処理、テレコミュニケーション、およびテレビやモバイルデバイスなどの家電製品で使用されるチップ上のチップユニットです。
DSPチップはデバイスの複雑さを増し、デバイスに新しい機能を追加する可能性がありますが、デバイスが攻撃されるという弱点ももたらします。
数千万台のデバイスが攻撃される脅威
Check Point の研究者は、DSPチップに複数の弱点を発見しました。 弱点のあるDSPチップは、「Google、Samsung、LGなどのハイエンド携帯電話を含め、世界中のほぼすべてのアンドロイド携帯電話に搭載されています。」AppleのiPhoneスマートフォン製品は影響を受けません。
Check Pointは、調査結果は弱点の存在するとQualcommに調査結果をお知らせしました。これらの弱点が合計6つのCVE番号で記しされています。CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020 -11207、CVE-2020-11208、およびCVE-2020-11209です。
研究者たちは、これらのバグは以下のようなことが引き起こす可能性があると言います。
- 攻撃者は、携帯電話をユーザーの操作なしに完璧な監視ツールとして使用できます。 携帯電話から手に入れる情報には、写真、ビデオ、通話履歴、リアルタイムのマイクデータ、GPS、地理的位置情報が含まれます。
- 電話が応答できないようにします。 その結果、ビデオ、アドレス帳の詳細など、携帯電話に保存されているすべての情報、永久に利用できなくなり、つまり標的型サービス拒否です。
- 悪意のあるソフトウェアやコードを使用して悪意のある操作を隠します。悪意のあるソフトウェアやコードは削除できません。
クアルコムがバグを修正
QualcommはSnapdragon DSPチップに影響を与えるこれらの6つのセキュリティ欠陥を修復しましたが、モバイルメーカーは依然としてセキュリティ修復ソリューションをユーザーに提供する必要があります。 デバイスはまだ弱くて、脅威はまだ存在しています。
研究者はこのバグの技術的な詳細を公開しなかったため、モバイルメーカはセキュリティアップデートを開発および提供して、存在する可能性のあるリスクが軽減されます。 研究者たちは、政府関係者と関連メーカに情報を提供し、これらの利害関係者と完全な研究の詳細を共有したと述べました。
チェック・ポイントは、これらのバグを悪用する証拠を発見していないと述べ、ユーザーはできるだけ早くパッチを適用し、Google Playストアなどの信頼できるところのみからアプリケーションをインストールすることを推奨します。
Check Point のネットワーク調査責任者であるYaniv Balmas 氏は、次のように述べています。「Qualcommがバグを修正しましたが、問題が解決していないのは残念です。何億台の携帯電話がこのセキュリティの危険にさらされています。ユーザーが監視され、すべてのデータが失われる可能性があります。 そのようなバグが悪用されると、何百万もの携帯電話ユーザーが長期間自分自身の安全を保護することができません。」
Check Point の研究者であるSlava Makkaveevは、DEF CON 2019で関連する研究結果を発表します。
コメントを残す