目次:
- QualPwnとは何ですか?
- WLANとは何ですか?
- QualPWNは修正されましたか?
- どのデバイスが影響を受けますか?
- QualPwnは実際に使用されていますか?
- パッチを入手するまでどうすればよいですか?
- 詳細情報が来ています
- より多くのPixel 3を入手
- Google Pixel 3
お使いの携帯電話は無数のさまざまなパーツで構築されており、その多くは「スマート」で、独自のプロセッサとファームウェアが組み込まれています。 つまり、バグや脆弱性が見つかって、悪意のある人物が本来すべきでないものにアクセスできるようになる場所がたくさんあるということです。 これらの部品を製造する企業は、それを防ぐために常に改善と強化を試みていますが、コンポーネントが研究室を離れて組立ラインに到達する前にすべてを見つけることは不可能です。
ほとんどのエクスプロイトは、誰もが存在することを知る前にパッチが適用されますが、一部は悪用されます。
これにより、これらのバグや脆弱性を見つけること自体が業界になります。 DEFCON 27およびBlack Hat 2019では、エクスプロイトが公開され、デモ(そして、できればパッチが適用される)が行われる巨大な会場で、Tencent Blade Teamによって、攻撃者がカーネルを介してアクセスし、潜在的にお使いの携帯電話に侵入して害を及ぼす。 良いニュースは、責任を持って発表され、クアルコムがGoogleと協力して2019年8月のAndroidセキュリティ速報の問題を修正したことです。
QualPwnについて知っておくべきことはすべてここにあります。
QualPwnとは何ですか?
変な名前であることに加えて、QualPwnは、攻撃者がWLAN(ワイヤレスローカルエリアネットワーク)とセルモデムを介してリモートで電話を侵害することを可能にするQualcommチップの脆弱性について説明しています。 Qualcommプラットフォームはセキュアブートで保護されていますが、QualPwnはセキュアブートを無効にし、攻撃者がモデムにアクセスできるようにして、デバッグツールをロードしてベースバンドを制御できるようにします。
それが起こると、攻撃者がAndroidを実行するカーネルを悪用し、昇格した権限を取得する可能性があります-彼らはあなたの個人データにアクセスできます。
これがどのように起こるのか、それがどれほど簡単になるのかについての詳細はありませんが、それらはTencent BladeのBlack Hat 2019およびDEFCON 27のプレゼンテーションで発表されます。
WLANとは何ですか?
WLANは、Wireless Local Area Networkの略で、携帯電話を含む、ワイヤレスで相互に通信するデバイスのグループの総称です。 WLANは、Wi-Fi、セルラー、ブロードバンド、Bluetooth、またはその他のワイヤレスタイプを使用して通信でき、エクスプロイトを探している人々にとって常にハニーポットでした。
非常に多くの異なるデバイスタイプがWLANの一部になる可能性があるため、接続の作成方法と維持方法について非常に具体的な標準があります。 Qualcommのチップなどのコンポーネントを含む携帯電話は、これらの標準を取り入れて従う必要があります。 標準が進歩し、新しいハードウェアが作成されると、接続の作成方法にバグや脆弱性が発生する可能性があります。
QualPWNは修正されましたか?
はい。 2019年8月のAndroidセキュリティ速報には、影響を受けるデバイスにQualcommからパッチを適用するために必要なすべてのコードが含まれています。 携帯電話に2019年8月のパッチが適用されると、安全です。
どのデバイスが影響を受けますか?
Tencent Blade Teamは、クアルコムチップを使用するすべての電話をテストしたわけではなく、Pixel 2とPixel 3のみをテストしました。どちらも脆弱であるため、Snapdragon 835および845プラットフォームで動作するすべての電話は おそらく 少なくとも影響を受けます。 QualPwnにパッチを適用するために使用されるコードは、QualcommプロセッサとAndroid 7.0以降を実行しているすべての電話に適用できます。
すべての詳細が公開されるまで、最新のSnapdragonチップセットはすべて、パッチを適用するまで危険にさらされると考えるべきです。
QualPwnは実際に使用されていますか?
このエクスプロイトは2019年3月にGoogleに責任を持って開示され、確認されるとクアルコムに転送されました。 Qualcommはパートナーに通知し、2019年6月にパッチを適用するコードを送信し、チェーンのすべての部分に2019年8月のAndroid Security Bulletinで使用されたコードを適用しました。
野生で悪用されているQualPwnのインスタンスは報告されていません。 クアルコムはこの問題に関して次の声明も発表しました。
堅牢なセキュリティとプライバシーをサポートするテクノロジーの提供は、Qualcommの優先事項です。 Tencentのセキュリティ研究者が、脆弱性報酬プログラムを通じて業界標準の調整された開示手法を使用していることを称賛します。 Qualcomm TechnologiesはすでにOEMに修正プログラムを発行しています。エンドユーザーは、OEMからパッチが入手可能になったときにデバイスを更新することをお勧めします。
パッチを入手するまでどうすればよいですか?
本当に今できることは何もありません。 問題はGoogleとQualcommによって 重大と マークされており、すぐにパッチが適用されたため、今は電話を作った会社がそれを入手するのを待つ必要があります。 Pixel 2および3のようなPixelスマートフォンは、EssentialおよびOnePlusの他のいくつかと一緒に、すでにパッチが利用可能です。 サムスン、モトローラ、LGなどのその他の企業は、電話にプッシュされるまでに数日から数週間かかる可能性があります。
それまでの間、常に使用する必要がある同じベストプラクティスに従ってください。
- 常に強力なロック画面を使用する
- 知らない人や信頼できない人からのリンクをたどらない
- 信頼できないウェブサイトやアプリに個人情報を送信しないでください
- Google以外の人にGoogleのパスワードを決して与えないでください
- パスワードを再利用しない
- 常に適切なパスワードマネージャーを使用する
- できるときはいつでも二要素認証を使用する
詳細:2019年のAndroid向けのベストパスワードマネージャー
これらのプラクティスは、この性質の悪用を防ぐことはできませんが、誰かがあなたの個人情報のいくつかを取得した場合の損害を軽減できます。 悪者のために簡単にしないでください。
詳細情報が来ています
前述のとおり、Tencent Blade Teamは、Black Hat 2019とDEFCON 27の両方で開催されるプレゼンテーション中にQualPwnに関するすべての詳細を公開します。これらの会議は、電子デバイスのセキュリティを中心としており、このような悪用の詳細に使用されることがよくあります。
Tencent Bladeが詳細を提供したら、私たちは自分の携帯電話でリスクを軽減するために何ができるかについてもっと知ることができます。
より多くのPixel 3を入手
Google Pixel 3
- Google Pixel 3および3 XLレビュー
- 最高のPixel 3ケース
- 最高のPixel 3 XLケース
- 最高のPixel 3スクリーンプロテクター
- 最高のPixel 3 XLスクリーンプロテクター
リンクを使用して、購入の手数料を獲得する場合があります。 もっと詳しく知る。