ควอลคอมม์ออกอัพเดทปิดช่องโหว่ในซีพียู 46 ตัว

บริษัทควอลคอมม์ (Qualcomm) ได้ออกเฟิร์มแวร์อัพเดทใหม่เมื่อเดือนที่แล้วเพื่อปิดช่องโหว่ในชิปเช็ตและซีพียู 46 ตัวที่ได้รับผลกระทบจากข้อบกพร่องด้านความปลอดภัย CVE-2018-11976 ซึ่งอาจช่วยให้ผู้ไม่หวังดีขโมยข้อมูลสำคัญส่วนตัวของผู้ใช้ไปได้

อุปกรณ์ที่ใช้ชิปเช็ตของควอลคอมม์ซึ่งใช้ส่วนใหญ่ในสมาร์ทโฟนและแท็บเล็ตมีความเสี่ยงต่อข้อผิดพลาดด้านความปลอดภัยใหม่ที่ทำให้ผู้ไม่หวังดีสามารถดึงข้อมูลคำคัญส่วนตัวและคีย์ที่ใช้การเข้ารหัสการสื่อสารที่ถูกจัดเก็บไว้ในพื้นที่สงวนส่วนปลอดภัยในระบบของควอลคอมม์ที่เรียกว่า Qualcomm Secure Execution Environment (โครงสร้างทางทรัพยากสำหรับการประมวลผลโปรแกรมได้อย่างปลอดภัย) หรือ QSEE ซึ่งจะคล้ายๆกับระบบด้านความปลอดภัยที่พบในชิปของบริษัทอินเทลที่เรียกว่า SGX

QSEE เป็นพื้นที่สงวนสำหรับการประมวลผลที่ซึ่งระบบปฏิบัติการแอนดรอยด์และแอปใช้ในการประมวลผลข้อมูลสำคัญได้อย่างปลอดภัย พื้นที่สงวนนี้จะเข้าถึงได้เฉพาะแอปที่เรียกใช้พื้นที่สงวนดังกล่าวเท่านั้น ซึ่งแอปอื่นๆหรือแม้แต่ระบบปฏิบัติการเองไม่สามารถเข้าถึงและเรียกอ่านข้อมูลได้ ข้อมูลที่อยู่ในการประมวลผลภายใน QSEE มักจะเป็นรหัสผ่านส่วนตัวและเคย์เข้ารหัสที่สำคัญในส่งข้อมูลแบบส่วนตัว

เมื่อเดือนมีนาคมปีที่ผ่านมาคีแกน ไรอันนักวิจัยด้านความปลอดภัยได้ค้นพบว่าช่องโหว่ในวิธีการนำอัลกอริธึมการลงนามเข้ารหัสลับ ECDSA (Elliptic Curve Digital Signature Algorithm) ของวอลคอมม์มาใช้ที่จะอนุญาตให้ดึงข้อมูลที่ประมวลผลภายในพื้นที่ปลอดภัย QSEE นี้ได้ แต่ในการใช้ประโยชน์จากช่องโหว่นี้ผู้ไม่หวังดีจะต้องเข้าถึงรูทของระบบปฏิบัติการ ซึ่งสมาร์ทโฟนและแท็บเล็ตโดยปกติจะไม่เปิดให้แอปเข้าถึงรูทได้นอกจากผู้ใช้ทำการแฮกเปิดการเข้าถึงรูท

ตามประกาศคำแนะนำด้านความปลอดภัยของบริษัทควอลคอมม์ได้เปิดเผยรายชื่อชิปและชิปเช็ตที่ได้รับผลกระทบจากช่องโหว่ CVE-2018-11976 ดังต่อไปนี้

IPQ8074, MDM9150, MDM9206, MDM9607, MDM9650, MDM9655, MSM8909W, MSM8996AU, QCA8081, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 410/12, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 650/52, SD 712 / SD 710 / SD 670, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 8CX, SDA660, SDM439, SDM630, SDM660, Snapdragon_High_Med_2016, SXR1130

ดังนั้นผู้ที่ใช้สมาร์ทโฟนและแท็บเล็ตระบบแอนดรอยด์ที่ใช้ชิปและชิปเช็ตของบริษัทควอลคอมม์รุ่นใดรุ่นหนึ่งดังกล่าวควรดัพเดทเป็นเวอร์ชั่นล่าสุดให้เร็วที่สุด แต่ปัญหาคือว่าสมาร์ทโฟนและแท็บเล็ตระบบแอนดรอยด์ส่วนใหญ่นั้นผู้ผลิตจะไม่ทำการอัพเดท อย่างไรก็ตามช่องโหว่นี้ไม่ได้เปิดให้เข้าถึงข้อมูลส่วนตัวหากสมาร์ทโฟนและแท็บเล็ตไม่ได้ทำการรูทเครื่อง

 

 

error: กด RightClick แทน