차례:
- QualPwn이란 무엇입니까?
- WLAN이란 무엇입니까?
- QualPWN이 수정 되었습니까?
- 어떤 장치가 영향을 받습니까?
- QualPwn은 실제 세계에서 사용 되었습니까?
- 패치를받을 때까지 어떻게해야합니까?
- 더 많은 정보가오고있다
- 더 많은 픽셀 3 얻기
- 구글 픽셀 3
휴대 전화는 수많은 다양한 부품으로 만들어졌으며 대부분은 "스마트"하며 자체 내장 프로세서 및 펌웨어가 있습니다. 즉, 악의적 인 행위자가해서는 안되는 것에 액세스 할 수있는 버그 나 취약점이 많이 발견됩니다. 이러한 부품을 만드는 회사는 항상 부품을 개선하고 방지하기 위해 노력하고 있지만 부품이 실험실을 떠나 조립 라인에 들어가기 전에 모든 것을 찾을 수는 없습니다.
대부분의 익스플로잇은 누군가가 존재한다는 사실을 알기 전에 패치되지만 일부는 악용됩니다.
따라서 이러한 버그와 취약점을 업계에서 찾을 수 있습니다. DEFCON 27 및 Black Hat 2019에서 익스플로잇이 공개되고 시연되는 패치가있는 대규모 장소에서 Tencent Blade Team이 Qualcomm 칩의 취약점을 발표하여 공격자가 커널을 통해 액세스 할 수있게했으며 잠재적으로 휴대 전화에 들어가면 피해를 입을 수 있습니다. 좋은 소식은 책임감있게 발표되었으며 Qualcomm은 Google과 협력하여 2019 년 8 월 Android 보안 게시판의 문제를 해결했습니다.
QualPwn에 대해 알아야 할 모든 것이 있습니다.
QualPwn이란 무엇입니까?
QualPwn은 재미있는 이름 일뿐 아니라 공격자가 WLAN (무선 근거리 통신망) 및 셀 모뎀을 통해 전화를 손상시킬 수있는 Qualcomm 칩의 취약점을 설명합니다. Qualcomm 플랫폼은 Secure Boot로 보호되지만 QualPwn은 Secure Boot를 물리 치고 공격자에게 모뎀에 대한 액세스 권한을 부여하여 디버깅 도구를로드하고베이스 밴드를 제어 할 수 있습니다.
이러한 상황이 발생하면 공격자가 Android가 실행하는 커널을 이용하여 높은 권한을 얻을 수 있습니다. 개인 데이터에 액세스 할 수 있습니다.
우리는 이것이 어떻게 일어날 지 또는 얼마나 쉬운 지에 대한 모든 세부 사항을 가지고 있지는 않지만 Tencent Blade의 Black Hat 2019 및 DEFCON 27 프레젠테이션 중에 올 것입니다.
WLAN이란 무엇입니까?
WLAN은 무선 근거리 통신망 (Wireless Local Area Network)의 약자이며 휴대 전화를 포함하여 무선으로 서로 통신하는 모든 장치 그룹의 포괄적 인 이름입니다. WLAN은 Wi-Fi, 셀룰러, 광대역, Bluetooth 또는 기타 무선 유형을 사용하여 통신 할 수 있으며 항상 익스플로잇을 찾는 사람들에게 허니팟이었습니다.
매우 다양한 장치 유형이 WLAN의 일부가 될 수 있으므로 연결을 유지 관리하는 방법에 대한 매우 구체적인 표준이 있습니다. Qualcomm의 칩과 같은 구성 요소를 포함한 휴대 전화는 이러한 표준을 통합하고 따라야합니다. 표준이 발전하고 새 하드웨어가 만들어 짐에 따라 연결 생성 방식의 버그와 취약점이 발생할 수 있습니다.
QualPWN이 수정 되었습니까?
예. 2019 년 8 월 Android 보안 게시판에는 Qualcomm에서 영향을받는 장치를 패치하는 데 필요한 모든 코드가 있습니다. 휴대 전화가 2019 년 8 월 패치를 받으면 안전합니다.
어떤 장치가 영향을 받습니까?
Tencent Blade Team은 Qualcomm 칩을 사용하는 모든 전화를 테스트하지 않았으며 Pixel 2와 Pixel 3 만 취약했습니다. 따라서 Snapdragon 835 및 845 플랫폼에서 실행되는 모든 전화는 최소한의 영향을받습니다. QualPwn을 패치하는 데 사용되는 코드는 Qualcomm 프로세서 및 Android 7.0 이상을 실행하는 모든 전화에 적용될 수 있습니다.
모든 세부 사항이 공개 될 때까지 모든 최신 Snapdragon 칩셋은 패치 될 때까지 위험에 처한 것으로 간주하는 것이 안전합니다.
QualPwn은 실제 세계에서 사용 되었습니까?
이 익스플로잇은 2019 년 3 월 Google에 책임있게 공개되었으며 확인 된 후에는 Qualcomm으로 전달되었습니다. Qualcomm은 파트너에게 2019 년 6 월에이를 패치하기 위해 코드를 발송했으며, 모든 체인에는 2019 년 8 월 Android 보안 게시판에 사용 된 코드가 패치되었습니다.
야생에서 악용되고있는 QualPwn 사례는보고 된 바 없습니다. Qualcomm은 또한이 문제와 관련하여 다음 진술을 발표했습니다.
Qualcomm은 강력한 보안 및 개인 정보를 지원하는 기술을 제공하는 것을 최우선으로 생각합니다. Vulnerability Rewards 프로그램을 통해 업계 표준의 공동 공개 관행을 사용한 Tencent의 보안 연구원을 추천합니다. Qualcomm Technologies는 이미 OEM에 수정 프로그램을 발표했으며 OEM에서 패치를 제공 할 때 최종 사용자가 장치를 업데이트 할 것을 권장합니다.
패치를받을 때까지 어떻게해야합니까?
지금 당장 할 수있는 일은 없습니다. 이 문제는 Google과 Qualcomm에 의해 긴급 으로 표시되었으며 즉시 패치되었습니다. 지금 당장 휴대 전화를 만든 회사가 귀하에게 연락 할 때까지 기다려야합니다. Pixel 2 및 3과 같은 Pixel 전화는 Essential 및 OnePlus의 다른 전화와 함께 이미 패치를 사용할 수 있습니다. 삼성, 모토로라, LG 등의 다른 업체들도 휴대폰으로 보내려면 며칠에서 몇 주가 걸릴 것으로 보인다.
그 동안 항상 사용해야하는 모범 사례를 따르십시오.
- 항상 강력한 잠금 화면을 사용하십시오
- 모르고 신뢰하는 사람의 링크를 따라 가지 마십시오.
- 신뢰할 수없는 웹 사이트 나 앱에 개인 정보를 제출하지 마십시오
- Google 이외의 다른 사람에게 Google 비밀번호를 제공하지 마십시오.
- 비밀번호를 재사용하지 마십시오
- 항상 좋은 암호 관리자를 사용하십시오
- 가능하면 2 단계 인증을 사용하십시오.
자세히: 2019 년 Android 용 최고의 비밀번호 관리자
이러한 관행은 이러한 성격의 악용을 막을 수는 없지만 누군가가 귀하의 개인 정보를 얻는 경우 피해를 완화 할 수 있습니다. 나쁜 사람들을 위해 쉽게 만들지 마십시오.
더 많은 정보가오고있다
언급 한 바와 같이 Tencent Blade Team은 Black Hat 2019와 DEFCON 27에서 모두 발표 될 동안 QualPwn에 대한 모든 세부 정보를 공개 할 것입니다.이 컨퍼런스는 전자 장치 보안을 중심으로하며 이러한 익스플로잇을 자세히 설명하는 데 자주 사용됩니다.
Tencent Blade가 더 자세한 정보를 제공하면 전화로 위험을 완화하기 위해 수행 할 수있는 작업에 대해 자세히 알아볼 것입니다.
더 많은 픽셀 3 얻기
구글 픽셀 3
- 구글 픽셀 3과 3 XL 검토
- 최고의 픽셀 3 케이스
- 최고의 Pixel 3 XL 케이스
- 최고의 픽셀 3 스크린 프로텍터
- 최고의 Pixel 3 XL 스크린 프로텍터
링크를 사용하여 구매 수수료를받을 수 있습니다. 자세히 알아보십시오.
