ビジネス

[衝撃]【セキュリティホール】QualcommのSnapdragonに400個超の脆弱性 ~悪用されればスマホのプライバシーが皆無に [エリオット★]

1 へっぽこ立て子@エリオット ★ 2020/08/11(火) 19:39:16.45

https://pc.watch.impress.co.jp/img/pcw/docs/1270/447/1.jpg

セキュリティ企業Check Pointによると、同社の調査でQualcommのモバイル向けSoCプラットフォームSnapdragonに、400を超える脆弱性が見つかったとし、注意喚起を促した。同社はこれらの脆弱性をまとめて「Achilles(アキレス)」と呼んでいる。

同社はこれらの脆弱性が悪用されることを防ぐために、各モバイルベンダーが対応するまで技術の完全の詳細について控えるとしているが、問題に対する認識を高めるためにブログを公開することにした。これらの脆弱性に対する共通脆弱性識別子(CVE)はCVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209の6つ。

これらの脆弱性は、Snapdragonに内包されるQuick Chargeやビデオ/キャプチャ/AR、オーディオなどを担当するDSPに起因する。DSPは設計や機能、コードなどが公開されていないためブラックボックスと化しており、ほかの部分と比較してセキュリティリスクに対してはるかに脆弱であるという。

脆弱性が突かれた場合、ユーザーが操作を加えることなくとも、攻撃者は写真、ビデオ、通話記録、リアルタイムのマイクデータ、GPSや位置データを取得可能。また、保存されているデータすべてを永久的に利用不可能にしたり、マルウェアや悪意のあるコードを完全に隠して削除できないようにすることも可能。

市場にある約40%の携帯電話がQualcommのチップを使っているため、この脆弱性の影響は甚大だ。脆弱性の防御方法などについては、8月13日(米国時間)に開かれるウェビナーで明らかにされる。

□関連リンク
Check Pointのホームページ(英文)
https://www.checkpoint.com/
ニュースリリース(英文)
https://blog.checkpoint.com/2020/08/06/achilles-small-chip-big-peril/

2020年8月11日 13:15
PC Watch
https://pc.watch.impress.co.jp/docs/news/1270447.html

2 名刺は切らしておりまして 2020/08/11(火) 19:40:37.82

連邦政府公認の見つけては困るバックドアですよ。

4 名刺は切らしておりまして 2020/08/11(火) 19:43:56.10

クォマルコレ

8 名刺は切らしておりまして 2020/08/11(火) 19:48:09.83

iphoneにしといてよかったわ

10 名刺は切らしておりまして 2020/08/11(火) 19:55:59.99

まーたアメ公のバックドアかこれ?

11 名刺は切らしておりまして 2020/08/11(火) 19:57:10.58

コードを公開しない方がセキュリティリスクに対して脆弱なのか
オープンソースって正しいんだな

13 名刺は切らしておりまして 2020/08/11(火) 20:00:18.25

中国製アプリよりQualcommが危ないと聞いて、やって来ました。

16 名刺は切らしておりまして 2020/08/11(火) 20:05:18.90

ガラケーに戻そうぜ

17 名刺は切らしておりまして 2020/08/11(火) 20:05:21.61

>>7
そんな冷静な意見に耳を傾けるような奴は
そもそも工作に乗らないからなあ…

18 名刺は切らしておりまして 2020/08/11(火) 20:05:24.12

>>3
Apple

20 名刺は切らしておりまして 2020/08/11(火) 20:11:36.02

>>13
その考えは誤り
「脆弱性を利用して中国製アプリがより凶悪になる」が正しい

23 名刺は切らしておりまして 2020/08/11(火) 20:16:43.21

この貧乏で、乞食で、人からルンペンと蔑まれる俺が
アップル製品買う時代が来たかぁ
感慨深いものがあるなぁあ

セキュリティーには変えられないものねぇ・・・・

27 名刺は切らしておりまして 2020/08/11(火) 20:21:50.73

ARMが悪いんじゃ?

30 名刺は切らしておりまして 2020/08/11(火) 20:29:24.97

どうせ理論上はクラックが可能みたいな奴だろ

31 名刺は切らしておりまして 2020/08/11(火) 20:31:21.00

>>7
8/13に発見者が詳細発表だから、まだベンダーもプレスリリース出せないでしょ
CVEも枠が取られただけの状態だし

33 名刺は切らしておりまして 2020/08/11(火) 20:31:57.20

ファームウェアで塞げる穴かどうかで対応が違ってくるな

35 名刺は切らしておりまして 2020/08/11(火) 20:44:46.53

>>1
この6つのCVEをNISTのNVDを見る限り、今のところQualcommの情報はでてないね
調整中なのか、名を売るためにいきなり公表するのか、後者なら罪深い

これらの脆弱性が世に出てまだ3ヶ月しか経ってないから、認識して修正して
それをキャリアに還元してって考えたら相当時間が必要になるはず

37 名刺は切らしておりまして 2020/08/11(火) 20:57:51.55

>>2
冗談と思えないw

38 名刺は切らしておりまして 2020/08/11(火) 20:59:38.30

>>13
悪意の有無がだんち

42 名刺は切らしておりまして 2020/08/11(火) 21:27:21.68

海外のきちんとしたメディアでは見かけなかったな

44 名刺は切らしておりまして 2020/08/11(火) 21:31:44.05

>>18
Appleも脆弱性の問題が過去に出てた。どこもセキュリティに穴がある