Η チェック・ポイント・リサーチ(CPR)、その研究チーム チェックポイントソフトウェア、チップのセキュリティホールを指摘 MediaTekプロセッサ 世界中のスマートフォンの37%で見つかりました。
Αこれらの脆弱性が修正されていない場合、ハッカーはこの脆弱性を悪用してAndroidユーザーを盗聴するだけでなく、デバイス上の悪意のあるコードを隠す可能性があります。
Η チェック・ポイント・リサーチ(CPR) 台湾の会社のチップスマートフォンチップにセキュリティホールを特定し、 テック。 彼女のチップ テック にあります 世界中のスマートフォンの37% を含むほぼすべての注目すべきAndroidデバイスのメインプロセッサとして機能します Xiaomi、Oppo、Realme、 Vivo その他。 チップのオーディオプロセッサ内にセキュリティの脆弱性が見つかりました。チェックを外したままにすると、ハッカーがAndroidユーザーを盗聴したり、悪意のあるコードを隠したりする可能性があります。
歴史
彼女のチップ テック 特別な処理装置が含まれています AI(APU) およびデジタルオーディオ信号プロセッサ(DSP)マルチメディアパフォーマンスを改善し、CPU使用率を削減します。 両方 APU としても DSPオーディオ カスタムマイクロプロセッサアーキテクチャを採用し、 MediaTek DSP セキュリティ研究のためのユニークで難しい目標。 NS CPR の程度について心配し始めました メディアテック DSP 加害者の攻撃手段として使用される可能性があります。 初めて、 CPR なんとかやった リバースエンジニアリング、 そのオーディオプロセッサの テック、いくつかのセキュリティの脆弱性を明らかにします。
攻撃の方法論
脆弱性を悪用するための脅威エージェントの一連のアクションは、理論的には次のようになります。
- ユーザーがPlayストアから悪意のあるアプリケーションをインストールして起動します
- アプリケーションはMediaTekAPIを使用して、オーディオドライバーにアクセスできるライブラリを攻撃します
- パーミッションアプリケーションは、編集されたメッセージをオーディオドライバーに送信して、オーディオプロセッサファームウェアでコードを実行します
- アプリケーションはオーディオストリームを盗みます
責任ある開示
CPRは、その結果をMediaTekに公式に開示し、以下を作成しました。 CVE-2021-0661, CVE-2021-0662, CVE-2021-0663。 これらのXNUMXつの脆弱性はその後修正され、 2021年XNUMX月のMediaTekセキュリティ速報。 のセキュリティ問題 MediaTekオーディオHAL (CVE-2021-0673)はXNUMX月に修正され、セキュリティ情報に掲載されます。 テック 彼 2021年XNUMX月.
CPRはXiaomiにもその調査結果を通知しました。
Check PointSoftwareのセキュリティ研究者であるSlavaMakkaveevによるコメント:
そのような虐待の具体的な証拠は見当たりませんが、私たちは調査結果を テック と Xiaomi。 つまり、AndroidAPIを悪用した可能性のあるまったく新しい攻撃ベクトルを証明しました。 Androidコミュニティへのメッセージは、デバイスを最新のセキュリティアップデートに更新して、デバイスを保護することです。 NS テック これらのセキュリティ問題がタイムリーに修正されるように私たちと熱心に協力し、より安全な世界のための彼らの協力と精神に感謝しています。
MediaTekの製品セキュリティ責任者であるTigerHsuによるコメント:
修正が利用可能になったときにデバイスを更新し、GooglePlayストアなどの信頼できるサイトからのみアプリをインストールすることをユーザーに推奨します。 MediaTek製品エコシステムをより安全にするために、CheckPoint研究チームとのコラボレーションを大切にしています。
詳細については、以下を参照してください。 MediaTek製品のセキュリティ.
ΔελτίοΤύπου
それに従うことを忘れないでください Xiaomi-miui.gr に グーグルニュース すべての新しい記事についてすぐに通知されます! RSSリーダーを使用している場合は、このリンクをたどるだけで、リストにページを追加することもできます>> https://news.xiaomi-miui.gr/feed/gn
フォローしてください Telegram あなたが私たちのすべてのニュースを最初に学ぶように!