Home / Android Nachrichten / QualPwn ist ein neuer Exploit für Qualcomm Snapdragon-Chips. Hier ist, was Sie wissen müssen

QualPwn ist ein neuer Exploit für Qualcomm Snapdragon-Chips. Hier ist, was Sie wissen müssen

Ihr Telefon besteht aus einer Vielzahl verschiedener Komponenten, von denen viele "intelligent" sind und über einen eigenen Prozessor und eine eigene Firmware verfügen. Das bedeutet, dass es viele Stellen gibt, an denen Bugs oder Schwachstellen gefunden werden können, die es einem schlechten Schauspieler ermöglichen, auf Dinge zuzugreifen, die er nicht sollte. Die Unternehmen, die diese Teile herstellen, versuchen ständig, Dinge zu verbessern und zu verbessern, um dies zu verhindern. Es ist ihnen jedoch unmöglich, alles zu finden, bevor eine Komponente das Labor verlässt und am Fließband landet.

Die meisten Exploits werden ausgebessert, bevor irgendjemand etwas weiß es gibt sie, aber einige schaffen es.

Dadurch ist es eine eigene Branche, diese Fehler und Schwachstellen zu finden. Bei DEFCON 27 und Black Hat 2019, einem riesigen Veranstaltungsort, an dem Exploits veröffentlicht und demonstriert (und hoffentlich gepatcht) werden, hat das Tencent Blade-Team eine Sicherheitslücke in Qualcomm-Chips angekündigt, die einem Angreifer den Zugriff über den Kernel und potenziell ermöglichen würde Holen Sie sich in Ihr Handy und verursachen Schaden. Die gute Nachricht ist, dass es verantwortungsbewusst angekündigt wurde und Qualcomm mit Google zusammengearbeitet hat, um das Problem mit dem Android Security Bulletin vom August 2019 zu beheben.

Hier finden Sie alles, was Sie über QualPwn wissen müssen.

Was ist QualPwn?

QualPwn ist ein lustiger Name, der eine Sicherheitsanfälligkeit in Qualcomm-Chips beschreibt, die es einem Angreifer ermöglichen würde, ein Telefon über WLAN (Wireless Local Area Network) und Mobilfunkmodem aus der Ferne zu kompromittieren. Die Qualcomm-Plattform ist durch Secure Boot geschützt, QualPwn besiegt jedoch Secure Boot und ermöglicht einem Angreifer den Zugriff auf das Modem, sodass Debugging-Tools geladen und das Basisband gesteuert werden können.

In diesem Fall ist es möglich Ein Angreifer kann den Kernel, auf dem Android läuft, ausnutzen und sich erhöhte Rechte sichern – er kann auf Ihre persönlichen Daten zugreifen.

Wir haben nicht alle Details darüber, wie dies passieren würde oder wie einfach es sein würde, aber Diese kommen während der Präsentationen von Tencent Blade Black Hat 2019 und DEFCON 27.

Was ist ein WLAN?

WLAN steht für Wireless Local Area Network und ist ein Sammelbegriff für jede Gruppe von Geräten – einschließlich Mobiltelefonen – miteinander drahtlos kommunizieren. Ein WLAN kann Wi-Fi, Mobilfunk, Breitband, Bluetooth oder jeden anderen drahtlosen Typ für die Kommunikation verwenden, und es war schon immer ein Honeypot für Leute, die nach Exploits suchten.

Da so viele verschiedene Gerätetypen Teil eines WLAN sein können, gibt es einige sehr spezifische Standards darüber, wie eine Verbindung hergestellt und aufrechterhalten wird. Ihr Telefon, einschließlich Komponenten wie Qualcomms Chips, muss diese Standards einbeziehen und befolgen. Wenn Standards weiterentwickelt und neue Hardware erstellt wird, können Fehler und Schwachstellen bei der Herstellung von Verbindungen auftreten.

Wurde QualPWN behoben?

Ja. Das Android Security Bulletin für August 2019 enthält den gesamten Code, der zum Patchen betroffener Geräte von Qualcomm erforderlich ist. Sobald Ihr Telefon den Patch für August 2019 erhalten hat, sind Sie in Sicherheit.

Welche Geräte sind betroffen?

Das Tencent Blade-Team hat nicht jedes Telefon mit einem Qualcomm-Chip getestet, nur Pixel 2 und Pixel 3. Beide waren anfällig Daher sind wahrscheinlich alle Telefone, die auf den Plattformen Snapdragon 835 und 845 ausgeführt werden, mindestens betroffen. Der zum Patchen von QualPwn verwendete Code kann auf alle Telefone angewendet werden, auf denen ein Qualcomm-Prozessor und Android 7.0 oder höher ausgeführt wird.

Bis zur Veröffentlichung aller Details kann davon ausgegangen werden, dass alle modernen Snapdragon-Chipsätze bis zum Patchen als gefährdet eingestuft werden sollten. [19659005] Wurde QualPwn in der realen Welt verwendet?

Dieser Exploit wurde im März 2019 verantwortungsbewusst an Google weitergeleitet und nach Überprüfung an Qualcomm weitergeleitet. Qualcomm benachrichtigte seine Partner und sandte den Code zum Patchen im Juni 2019 aus. Jedes Teil der Kette wurde mit dem im Android Security Bulletin vom August 2019 verwendeten Code gepatcht.

In keinem Fall wurde QualPwn ausgenutzt Über die Wildnis wurde berichtet. Qualcomm gab außerdem die folgende Erklärung zu diesem Problem ab:

Die Bereitstellung von Technologien, die robuste Sicherheit und Datenschutz unterstützen, hat für Qualcomm Priorität. Wir loben die Sicherheitsforscher von Tencent dafür, dass sie im Rahmen unseres Vulnerability Rewards-Programms branchenübliche Methoden zur koordinierten Offenlegung anwenden. Qualcomm Technologies hat bereits Korrekturen für OEMs veröffentlicht. Wir empfehlen Endbenutzern, ihre Geräte zu aktualisieren, sobald Patches von OEMs verfügbar werden.

Was soll ich tun, bis ich den Patch erhalte?

Sie können wirklich nichts tun jetzt sofort. Die Probleme wurden von Google und Qualcomm als Kritisch gekennzeichnet und wurden umgehend behoben. Warten Sie also im Moment, bis das Unternehmen, von dem Ihr Telefon stammt, sie erhalten hat. Auf Pixeltelefonen wie Pixel 2 und 3 sowie einigen anderen von Essential und OnePlus ist der Patch bereits verfügbar. Bei anderen von Samsung, Motorola, LG und anderen dauert es wahrscheinlich ein paar Tage bis ein paar Wochen, bis sie auf Telefone übertragen werden.

Befolgen Sie in der Zwischenzeit dieselben bewährten Methoden, die Sie immer anwenden sollten:

  • Verwenden Sie immer einen starken Bildschirm sperren
  • Folgen Sie niemals einem Link von jemandem, den Sie nicht kennen und dem Sie nicht vertrauen.
  • Senden Sie niemals persönliche Daten an Websites oder Apps, denen Sie nicht vertrauen.
  • Geben Sie niemals Ihr Google-Passwort außer Google
  • an ] Verwenden Sie Kennwörter nie wieder.
  • Verwenden Sie immer einen guten Kennwort-Manager.
  • Verwenden Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung.

Mehr: Beste Kennwort-Manager für Android im Jahr 2019

Diese Vorgehensweisen verhindern möglicherweise keinen Exploit dieser Art. Sie können den Schaden jedoch abmildern, wenn jemand einige Ihrer persönlichen Daten erhält. Machen Sie es den Bösen nicht leicht.

Weitere Informationen folgen

Wie bereits erwähnt, wird das Tencent Blade-Team alle Details zu QualPwn bei den kommenden Präsentationen auf der Black Hat 2019 und der DEFCON 27 veröffentlichen Das Hauptaugenmerk liegt auf der Sicherheit elektronischer Geräte und wird häufig verwendet, um Exploits wie diese detailliert darzustellen.

Sobald Tencent Blade mehr Details bereitstellt, wissen wir mehr darüber, wie wir Risiken mit unseren eigenen Telefonen mindern können.

Weitere Informationen Pixel 3


Google Pixel 3

Für Einkäufe über unsere Links können wir eine Provision verdienen. Mehr erfahren.

About AndroidWeltEditor

Check Also

The Galaxy S21 Series Report Card: What wins, what doesn’t, and what’s still weird

Source: Android Central Well, that was a nice bust week. CES 2021 came along with …

Leave a Reply

Your email address will not be published. Required fields are marked *