Sicherheitslücken in Qualcomm-Chip betreffen viele mobile Endgeräte
von André Westphal | 7 Kommentare
Die Sicherheitsforscher von Check Point Research sind auf zahlreiche Sicherheitslücken in einem Digital Signal Processor Unit (DSP) von Qualcomm gestoßen. DSPs sind Bestandteil von SoCs für mobile Endgeräte – wie etwa eben der Qualcomm Snapdragon. Man bezeichnet die Verwundbarkeiten als „Achilles“, weil damit recht schwerwiegende Angriffe möglich seien.
Über 400 verwundbare Stellen im Code konnte man bei einem DSP-Chip aufstöbern. Die Angriffsmöglichkeiten laufen unter den Nummern CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 und CVE-2020-11209. Sie ermöglichen beispielsweise den Diebstahl von Fotos oder Videos sowie die Aufzeichnung von Anrufen und GPS-Daten. Es wäre auch möglich, ein Smartphone komplett unbrauchbar zu machen.
Die vollständigen, technischen Details will Check Point Research aktuell noch unter Verschluss halten, um betroffenen Herstellern wie LG, Samsung und Xiaomi Zeit zu geben, um zu reagieren. Partnern habe man natürlich alle Ergebnisse der eigenen Untersuchungen zugänglich gemacht. DSPs könnten sich in Zukunft zu einem leider sehr interessanten Angriffsziel entwickeln, da das Beheben von Sicherheitslücken sehr komplex sei.
Denn dafür müsse erst der jeweilige Hersteller, in diesem Fall Qualcomm, reagieren. Erst danach könnten die Partner, also die Smartphone-Hersteller selbst, tätig werden. Ob „Achilles“ schon ausgenutzt wurde, ist aber nicht bekannt.
Wird geladen ...
Also es ist auf Software-seitig patchbar? Das ist gut. Ich dachte schon, es ist ne Hardwareproblematik und man bräuchte dann eine neue Version des Chips.
Natürlich ist es eine Hardware Problematik. Die mit Software umschifft wird.
Angesichts der heutigen Zeit frage ich mich, sind es wirklich Lücken oder gewollte Hintertüren?
Tut mir leid, aber dieser Gedanke drängt sich einfach auf.
Insbesondere wenn man sich bewusst wird, was durch die Lücken möglich wird.
Es wird immer Sicherheitslücken geben, denn desto mehr Zeit man investiert, desto mehr Wege werden sichtbar.
Aber generell ist der Gedanke nicht abwägig, wenn man die Cisco Backdoors berücksichtigt.
Da hilft schon seit Jahren nur WLAN und Bluetooth immer ausschalten, wenn man es gerade nicht braucht.
Nun ja Lücken gibt es immer. deswegen sollte man app nicht aus unbekannten Quellen installieren. und sich geräte anschaffen die Bekannt für relativ guten Software support sind.