パスワードを忘れた? アカウント作成
14269537 story
セキュリティ

Snapdragonに400個を超える脆弱性「Achilles」が見つかる。Check Pointが発見 26

ストーリー by nagazou
対処はできそうなのだろうか 部門より
イスラエルのセキュリティー企業であるCheck Pointによると、QualcommのSnapdragonに、400を超える脆弱性が見つかったという。同社はこの脆弱性問題を「Achilles(アキレス)」と名付けている(Check PointPC Watch)。

発見された脆弱性はSnapdragonに含まれているDSPに集中しており、写真、ビデオ、通話録音、リアルタイムのマイクデータ、GPSおよび位置データなどを入手可能になるほか、標的型サービス拒否攻撃などにより、保存されているすべての情報にアクセスできなくすることもできるとしている。このほか、マルウェアなどの悪意のあるコードを仕込まれて、削除できなくなる可能性があるとしている。

同社はQualcommにこれらの調査結果を開示、同社はそれを認めたとしている。この件に関連するスマホメーカーなどの各ベンダーに連絡した上で、共通脆弱性識別子(CVE)を割り当てたとしている。具体的には、CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209となっているが、それぞれのベンダーがが対策するまでの期間は、これらの脆弱性に関する技術的詳細を公開しないとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年08月18日 16時17分 (#3872202)

    脆弱性の半分にパッチを当てる。
    しかしこの間に新たな脆弱性が発見される。
    新たに発見された脆弱性も含め、半分にパッチを当てる。

    これを繰り返しても、脆弱性を根絶させることはできないのだ。

    • by Anonymous Coward

      パッチを当てると性能が大幅に下がるというのもあると嫌だな

      Intelチップの場合は性能に直接関わるところだつたから
      パッチで大きく下がったからね

      • おそらく音声とか画像などのデータ処理に使用しているようですので、
        もしもヘキサゴン使わずにCPU側のソフトウェア処理に置き換えますとかになると大幅に性能が落ちそう。

        # スマホ買い替えを促すのにはちょうどいい理由だと思ったり

        親コメント
        • by Anonymous Coward

          どうせ最新モデル以外はアップデートされない。
          今までどおり性能低下しない古い機種と性能低下する新しい機種に分かれる。

  • by Anonymous Coward on 2020年08月18日 13時31分 (#3872077)

    トロイア戦争のエースなのに弱点扱いされる

    • トロイア戦争のエースなのに弱点扱いされる

      そう言や、昔、漫画原作者の小池一夫氏の講演を聞きに行った時に、
      「主人公には弱点が必要」
      みたいな話をされてて、例として挙げてたのが「アキレウスの踵」「北欧神話のジークフリートの『体の中で一箇所だけ刃が徹る部分』」「『子連れ狼』の拝一刀にとっての大五郎」だった。
      ……最後のに関しては、第一話の冒頭でやったのが「その『弱点』を逆用して標的を暗殺」だけど。

      親コメント
      • by Anonymous Coward

        ドラゴンつながりでジークフリートの方がよかった?

        • by Anonymous Coward

          オデットとオディールの区別もつかずに身投げする奴はいらね

          # それは別のジークフリート

    • by hahahash (41409) on 2020年08月18日 13時33分 (#3872078) 日記

      弱点以外は無敵なんだけどなぁ……

      親コメント
    • by Anonymous Coward

      そりゃ、急にすね毛引っ張られたら痛いですし。。

    • by Anonymous Coward

      本当のエースはオデュッセウス定期

      • by Anonymous Coward

        神話級のなろう小説はちょっと…

        • by nekopon (1483) on 2020年08月18日 15時12分 (#3872156) 日記
          神話なんてたいがいなろうな気が(いいすぎ
          親コメント
          • by Anonymous Coward

            なろうにしてはろくでもない展開が多い
            神話は誰に共感しても誰に感情移入してもげんなりする
            なろうなら明るくハッピーで主人公に感情移入すれば嬉しい主人公の敵に感情移入すればげんなり
            個人の見解です

    • by Anonymous Coward

      むしろパンドラ。

  • by Anonymous Coward on 2020年08月18日 16時00分 (#3872190)

    半導体開発についてはなんにもわからないけど、DSPだけこんなにお粗末になることってあるの?
    それともDSPは周辺回路だからあまりセキュリティとかこれまで言われてなかっただけ?
    DSPにまとまってこれだけ脆弱性あったら、普通の産業ならグループ丸々解体とかなりそうだけど、どうなんだろう。

    ちなみに陰謀論なら、どっかのスパイがDSP開発班に所属してるってことになりそう。

    • by Anonymous Coward

      お粗末でも驚きはないが、なかには仕様がバレただけのものもあるんじゃないかという気もする。

    • by Anonymous Coward

      セキュリティを考慮して開発されてないなら、そうなっちゃうんじゃないかな。
      Acrobat Readerなんてそういう感じでは。

  • by Anonymous Coward on 2020年08月18日 17時52分 (#3872265)

    このSOCでのDSPはそれ自体独立したプロセッササブシステムだと思うのですが、DSPはBlackBoxだと
    ありましたので、NDAを結んだとかで仕様を入手したところから流出とか、開発ベンダ内そのものに悪用
    分子でも居ない限りは悪用はむづかしいんじゃないかなぁ
    そう思うと、このCheck PointというのはどうやってDSPとその周りの詳細を知ったのだろうか
    ちょっと検索するとQ社はセキュリティパッチを用意済みたいですが、またこれでパフォーマンスが
    低下するんだろどうせ(良くはならない罠)

    • by Anonymous Coward

      内部仕様は非公開でも、外部とのインタフェース部分は公開されていますから、
      そこから実際にはあり得ない波形データを入力したりして試すことはできますよ。

      たまたま見つけてしまったのか、それとも必死に探し出したのかはわかりませんが・・

      • by Anonymous Coward

        一般的なアンドロイドアプリからDSPを攻撃できるかどうかが分かれ目かなあ。
        ここで言うブラックボックスだから大丈夫とはintelのCPUはブラックボックスだから大丈夫みたいな話で嘘。

  • by Anonymous Coward on 2020年08月18日 21時30分 (#3872396)

    CVEは6個のようだが。今後追加されてくのかな?

  • by Anonymous Coward on 2020年08月19日 2時00分 (#3872485)

    儲かるの?

    • by Anonymous Coward

      メーカー自身が安全性向上のために賞金を出している場合もありますし、競合他社が買い取る場合もあります。
      専用のサイトを作って大々的に宣伝すれば広告効果も大きいですね。

  • by Anonymous Coward on 2020年08月19日 11時36分 (#3872653)

    敢えて脆弱性を仕込んでバックドアにしてるだか何だか言ってるけど

    QUALCOMMって中国企業だったのかあー(棒)

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...