Logo id.androidermagazine.com
Logo id.androidermagazine.com
» Berita
Berita

Qualpwn adalah eksploitasi baru untuk chip Qualcomm Snapdragon, inilah yang perlu Anda ketahui

Qualpwn adalah eksploitasi baru untuk chip Qualcomm Snapdragon, inilah yang perlu Anda ketahui

Daftar Isi:

Anonim

Ponsel Anda dibangun dari berbagai bagian yang beragam, dan banyak dari mereka "pintar" dan memiliki prosesor dan firmware bawaan sendiri. Itu berarti ada banyak tempat untuk menemukan bug atau kerentanan yang akan memungkinkan aktor yang buruk memiliki akses ke hal-hal yang seharusnya tidak mereka miliki. Perusahaan yang membuat bagian-bagian ini selalu berusaha memperbaiki dan mengeraskan hal-hal untuk mencegahnya, tetapi tidak mungkin bagi mereka untuk menemukan segalanya sebelum komponen meninggalkan lab dan berakhir di jalur perakitan.

Sebagian besar eksploitasi ditambal sebelum ada yang tahu mereka ada, tetapi beberapa berhasil.

Ini membuat menemukan bug dan kerentanan ini sebagai industri dengan sendirinya. Di DEFCON 27 dan Black Hat 2019, tempat-tempat besar tempat eksploitasi dipublikasikan dan didemonstrasikan (dan mudah-mudahan, ditambal), kerentanan dalam chip Qualcomm telah diumumkan oleh Tim Blade Tencent yang akan memungkinkan penyerang mendapatkan akses melalui kernel dan berpotensi masuk ke ponsel Anda dan membahayakan. Kabar baiknya adalah bahwa itu diumumkan secara bertanggung jawab dan Qualcomm bekerja dengan Google untuk memperbaiki masalah dengan Buletin Keamanan Android Agustus 2019.

Ini semua yang perlu Anda ketahui tentang QualPwn.

Apa itu QualPwn?

Selain nama yang lucu, QualPwn menjelaskan kerentanan dalam chip Qualcomm yang memungkinkan penyerang berkompromi dengan telepon melalui WLAN (Wireless Local Area Network) dan Modem sel dari jarak jauh. Platform Qualcomm dilindungi oleh Boot Aman, tetapi QualPwn mengalahkan Boot Aman dan memberikan akses penyerang ke modem sehingga alat debugging dapat dimuat dan baseband dapat dikontrol.

Setelah itu terjadi, mungkin saja penyerang dapat mengeksploitasi kernel yang dijalankan Android di atas dan mendapatkan hak istimewa yang lebih tinggi - mereka dapat memiliki akses ke data pribadi Anda.

Kami tidak memiliki semua perincian tentang bagaimana ini akan terjadi atau betapa mudahnya itu terjadi, tetapi itu akan datang selama presentasi Black Hat 2019 dan DEFCON 27 dari Tencent Blade.

Apa itu WLAN?

WLAN adalah singkatan dari Wireless Local Area Network dan itu adalah nama umum untuk semua kelompok perangkat - termasuk ponsel - yang saling berkomunikasi secara nirkabel. WLAN dapat menggunakan Wi-Fi, seluler, broadband, Bluetooth atau jenis nirkabel lainnya untuk berkomunikasi dan itu selalu menjadi honeypot bagi orang yang mencari exploit.

Karena begitu banyak jenis perangkat yang berbeda dapat menjadi bagian dari WLAN, ada standar yang sangat spesifik tentang bagaimana koneksi dibuat terpelihara. Ponsel Anda, termasuk komponen-komponen seperti chip Qualcomm, perlu digabungkan dan mengikuti standar-standar ini. Ketika standar maju dan perangkat keras baru dibuat, bug dan kerentanan tentang bagaimana koneksi dapat terjadi.

Apakah QualPWN sudah diperbaiki?

Iya nih. Android Security Bulletin untuk Agustus 2019 memiliki semua kode yang diperlukan untuk menambal perangkat yang terkena dampak dari Qualcomm. Setelah ponsel Anda mendapatkan patch Agustus 2019, Anda aman.

Perangkat apa yang terpengaruh?

Tencent Blade Team tidak menguji setiap ponsel menggunakan chip Qualcomm, hanya Pixel 2 dan Pixel 3. Keduanya rentan, sehingga semua ponsel yang menggunakan platform Snapdragon 835 dan 845 mungkin terpengaruh setidaknya. Kode yang digunakan untuk menambal QualPwn dapat diterapkan ke telepon yang menjalankan prosesor Qualcomm dan Android 7.0 atau lebih tinggi.

Sampai semua detail dirilis, aman untuk mengasumsikan bahwa semua chipset Snapdragon modern harus dianggap berisiko sampai ditambal.

Sudahkah QualPwn digunakan di dunia nyata?

Eksploitasi ini diungkapkan secara bertanggung jawab kepada Google pada bulan Maret 2019, dan setelah diverifikasi, diteruskan ke Qualcomm. Qualcomm memberi tahu mitra-mitranya dan mengirimkan kode untuk menambalnya pada Juni 2019, dan setiap bagian rantai ditambal dengan kode yang digunakan dalam Buletin Keamanan Android Agustus 2019.

Tidak ada contoh QualPwn yang dieksploitasi di alam liar yang dilaporkan. Qualcomm juga mengeluarkan pernyataan berikut tentang masalah ini:

Menyediakan teknologi yang mendukung keamanan dan privasi yang kuat adalah prioritas bagi Qualcomm. Kami memuji para peneliti keamanan dari Tencent untuk menggunakan praktik pengungkapan terkoordinasi standar industri melalui Program Hadiah Kerentanan kami. Qualcomm Technologies telah mengeluarkan perbaikan untuk OEM, dan kami menganjurkan pengguna akhir untuk memperbarui perangkat mereka ketika tambalan menjadi tersedia dari OEM.

Apa yang harus saya lakukan sampai saya mendapatkan tambalan?

Sebenarnya tidak ada yang bisa Anda lakukan sekarang. Masalah telah ditandai sebagai Kritis oleh Google dan Qualcomm dan segera ditambal, jadi saat ini Anda harus menunggu perusahaan yang membuat ponsel Anda untuk menyampaikannya kepada Anda. Ponsel Pixel, seperti Pixel 2 dan 3, bersama dengan beberapa lainnya dari Essential dan OnePlus, sudah memiliki patch yang tersedia. Orang lain dari Samsung, Motorola, LG dan lainnya kemungkinan akan membutuhkan beberapa hari hingga beberapa minggu untuk didorong ke ponsel.

Sementara itu, ikuti praktik terbaik yang sama yang harus selalu Anda gunakan:

  • Selalu gunakan layar kunci yang kuat
  • Jangan pernah mengikuti tautan dari seseorang yang tidak Anda kenal dan percayai
  • Jangan pernah mengirimkan detail pribadi apa pun ke situs web atau aplikasi yang tidak Anda percayai
  • Jangan pernah memberikan kata sandi Google Anda kepada siapa pun selain Google
  • Jangan pernah menggunakan kembali kata sandi
  • Selalu gunakan pengelola kata sandi yang baik
  • Gunakan otentikasi dua faktor kapan pun Anda bisa

Lainnya: Pengelola Kata Sandi Terbaik untuk Android pada tahun 2019

Praktek-praktek ini mungkin tidak mencegah eksploitasi seperti ini, tetapi mereka dapat mengurangi kerusakan jika seseorang mendapatkan beberapa detail pribadi Anda. Jangan membuatnya mudah bagi orang jahat.

Lebih banyak informasi akan datang

Seperti yang disebutkan, Tim Blade Tencent akan merilis semua detail tentang QualPwn selama presentasi mendatang di Black Hat 2019 dan DEFCON 27. Konferensi ini berpusat pada keamanan perangkat elektronik dan sering digunakan untuk merinci eksploitasi seperti ini.

Setelah Tencent Blade memberikan detail lebih lanjut, kami akan tahu lebih banyak tentang apa yang bisa kami lakukan untuk mengurangi risiko dengan ponsel kami sendiri.

Dapatkan Lebih Banyak Pixel 3

Google Pixel 3

  • Ulasan Google Pixel 3 dan 3 XL
  • Kasus Pixel 3 Terbaik
  • Kasus Pixel 3 XL Terbaik
  • Pelindung Layar Pixel 3 Terbaik
  • Pelindung Layar Pixel 3 XL Terbaik

Kami dapat memperoleh komisi untuk pembelian menggunakan tautan kami. Belajarlah lagi.

Berita

Pilihan Editor