Η Kontrol Noktası Araştırması (CPR), araştırma ekibi Check Point Yazılımı, çipindeki güvenlik açıklarına dikkat çekiyor MediaTek işlemci dünya çapındaki akıllı telefonların %37'sinde bulunur.
ΑBu güvenlik açıkları düzeltilmezse, bir bilgisayar korsanı, Android kullanıcılarını gizlice dinlemek ve aynı zamanda cihazlarındaki kötü amaçlı kodları gizlemek için güvenlik açıklarından yararlanabilir.
Η Kontrol Noktası Araştırması (CPR) Tayvanlı şirket çip akıllı telefon çipinde tespit edilen güvenlik açıkları, MediaTek. onun çipi MediaTek o da Dünya çapında akıllı telefonların %37'si ve dahil olmak üzere hemen hemen her önemli Android cihazı için ana işlemci olarak hizmet eder. Xiaomi, Oppo, Realme, Vivo ve diğerleri. Çipin ses işlemcisinde güvenlik açıkları bulundu ve denetlenmezse, güvenlik açıkları bir bilgisayar korsanının bir Android kullanıcısını dinlemesine ve/veya kötü amaçlı kodu gizlemesine izin verebilir.
tarih
onun cipsleri MediaTek özel bir işlem birimi içerir yapay zeka (APU) ve bir dijital ses sinyali işlemcisi (DSP) multimedya performansını artırmak ve CPU kullanımını azaltmak için. Her ikisi de APU Hem de DSP ses özel mikroişlemci mimarilerine sahip olmak, MediaTek DSP güvenlik araştırması için benzersiz ve zor bir hedef. bu CPR ne ölçüde olacağı konusunda endişelenmeye başladı. MediaTek DSP'si failler için bir saldırı aracı olarak kullanılabilir. İlk kez, CPR yapmayı başardı ters mühendislik ses işlemcisinin MediaTek, çeşitli güvenlik açıklarını ortaya çıkardı.
Saldırı Metodolojisi
Güvenlik açıklarından yararlanmak için, bir tehdit aracısının eylem dizisi teorik olarak aşağıdaki gibi olacaktır:
- Bir kullanıcı Play Store'dan kötü amaçlı bir uygulama yükler ve onu başlatır
- Uygulama, ses sürücüsüne erişimi olan bir kitaplığa saldırmak için MediaTek API'sini kullanır.
- İzinler uygulaması, ses işlemcisi sabit yazılımındaki kodu yürütmek için ses sürücüsüne düzenlenmiş mesajlar gönderir
- Uygulama ses akışını çalar
Sorumlu Açıklama
CPR, bulgularını resmi olarak MediaTek'e açıkladı ve aşağıdakileri oluşturdu: CVE-2021-0661, CVE-2021-0662, CVE-2021-0663. Bu üç güvenlik açığı daha sonra düzeltildi ve yayınlandı. Ekim 2021'de MediaTek Güvenlik Bülteni. deki güvenlik sorunu MediaTek ses HAL'i (CVE-2021-0673) Ekim ayında düzeltilmiştir ve Güvenlik Bülteninde yayınlanacaktır. MediaTek GÖREV ½ Aralık 2021.
CPR ayrıca Xiaomi'yi bulguları hakkında bilgilendirdi.
Check Point Software Güvenlik Araştırmacısı Slava Makkaveev'in yorumu:
Bu tür bir istismara dair somut bir kanıt görmesek de, bulgularımızı yetkililere iletmek için hızla harekete geçtik. MediaTek ve Xiaomi. Kısacası, Android API'sini kötüye kullanabilecek tamamen yeni bir saldırı vektörünü kanıtladık. Android topluluğuna mesajımız, cihazlarını korunmalarını sağlamak için en son güvenlik güncellemesine güncellemeleridir. bu MediaTek bu güvenlik sorunlarının zamanında düzeltilmesini sağlamak için bizimle özenle çalıştı ve daha güvenli bir dünya için işbirlikleri ve ruhları için minnettarız.
MediaTek Ürün Güvenliği Sorumlusu Tiger Hsu'nun yorumu:
Kullanıcıları, düzeltmeler mevcut olduğunda cihazlarını güncellemeye ve yalnızca Google Play Store gibi güvenilir sitelerden uygulama yüklemeye teşvik ediyoruz. MediaTek ürün ekosistemini daha güvenli hale getirmek için Check Point araştırma ekibiyle işbirliğine değer veriyoruz.
Daha fazla bilgi için, bkz: MediaTek Ürün Güvenliği.
Basın Açıklaması
takip etmeyi unutmayın Xiaomi-miui.gr at Google Haberler tüm yeni yazılarımızdan hemen haberdar olmak için! Ayrıca RSS okuyucu kullanıyorsanız bu bağlantıyı takip ederek sayfamızı listenize ekleyebilirsiniz >> https://news.xiaomi-miui.gr/feed/gn
Bizi takip edin Telegram Böylece her haberimizi ilk öğrenen siz olursunuz!