Η 체크포인트 조사(CPR), 연구팀 체크 포인트 소프트웨어, 칩의 보안 구멍을 지적합니다. 미디어텍 프로세서 전 세계 스마트폰의 37%에서 발견됩니다.
Α이러한 취약점이 수정되지 않으면 해커가 취약점을 악용하여 Android 사용자를 도청할 수 있을 뿐만 아니라 기기의 악성 코드를 숨길 수도 있습니다.
Η 체크포인트 조사(CPR) 대만 회사 칩 스마트폰 칩의 보안 허점 식별, 미디어 텍. 그녀의 칩 미디어 텍 에 있다 전 세계 스마트폰의 37% 다음을 포함하여 거의 모든 주목할만한 Android 기기의 메인 프로세서 역할을 합니다. 샤오미, 오포, 리얼미, Vivo 다른 사람. 칩의 오디오 프로세서에서 보안 취약점이 확인되었으며, 이를 확인하지 않으면 해커가 Android 사용자를 도청하거나 악성 코드를 숨길 수 있습니다.
역사
그녀의 칩 미디어 텍 특수 처리 장치를 포함 AI(APU) 및 디지털 오디오 신호 프로세서(DSP) 멀티미디어 성능을 향상시키고 CPU 사용량을 줄입니다. 둘 다 APU 게다가 DSP 오디오 맞춤형 마이크로프로세서 아키텍처를 가지고 있어 미디어텍 DSP 보안 연구를 위한 독특하고 어려운 목표. 그만큼 심폐소생술 정도에 대해 우려하기 시작했다. 미디어텍 DSP 가해자에 대한 공격 수단으로 사용될 수 있습니다. 처음으로, 심폐소생술 할 수 있었다 리버스 엔지니어링 오디오 프로세서의 미디어 텍, 몇 가지 보안 취약점을 보여줍니다.
공격 방법론
취약점을 악용하기 위한 위협원의 행동 순서는 이론적으로 다음과 같습니다.
- 사용자가 Play 스토어에서 악성 애플리케이션을 설치하고 실행
- 애플리케이션은 MediaTek API를 사용하여 오디오 드라이버에 액세스할 수 있는 라이브러리를 공격합니다.
- 권한 응용 프로그램은 오디오 프로세서 펌웨어에서 코드를 실행하기 위해 편집된 메시지를 오디오 드라이버로 보냅니다.
- 애플리케이션이 오디오 스트림을 훔칩니다.
책임있는 공개
CPR은 결과를 MediaTek에 공식적으로 공개하여 다음을 생성했습니다. CVE-2021-0661, CVE-2021-0662, CVE-2021-0663. 이 세 가지 취약점은 이후 수정되어 다음 사이트에 게시되었습니다. 2021년 XNUMX월 MediaTek 보안 게시판. 의 보안 문제 MediaTek 오디오 HAL (CVE-2021-0673) XNUMX월에 수정되었으며 보안 게시판에 게시됩니다. 미디어 텍 그를 2021년 XNUMX월.
CPR은 또한 Xiaomi에 결과를 알렸습니다.
Check Point Software의 보안 연구원인 Slava Makkaveev의 논평:
그러한 학대에 대한 구체적인 증거는 발견되지 않았지만, 우리는 발견한 사실을 신속하게 전달하기 위해 움직였습니다. 미디어 텍 그리고 샤오 미 테크. 간단히 말해서, 우리는 Android API를 남용할 수 있는 완전히 새로운 공격 벡터를 입증했습니다. Android 커뮤니티에 보내는 메시지는 기기를 최신 보안 업데이트로 업데이트하여 기기를 보호하라는 것입니다. 그만큼 미디어 텍 이러한 보안 문제가 적시에 시정되도록 우리와 열심히 일했으며 더 안전한 세상을 위한 그들의 협력과 정신에 감사합니다.
MediaTek의 제품 보안 책임자인 Tiger Hsu의 논평:
수정 사항이 있을 때 사용자가 기기를 업데이트하고 Google Play 스토어와 같은 신뢰할 수 있는 사이트에서만 앱을 설치하도록 권장합니다. 우리는 MediaTek 제품 생태계를 보다 안전하게 만들기 위해 Check Point 연구팀과의 협력을 중요하게 생각합니다.
자세한 내용은 다음을 참조하세요. MediaTek 제품 보안.
보도 자료
잊지말고 따라해보세요 Xiaomi-miui.gr 에 구글 뉴스 모든 새로운 기사에 대해 즉시 알려드립니다! RSS 리더를 사용하는 경우 이 링크를 따라 목록에 페이지를 추가할 수도 있습니다. >> https://news.xiaomi-miui.gr/feed/gn
우리를 따라 오세요 텔레그램 당신이 우리의 모든 뉴스를 가장 먼저 배울 수 있도록!