คงปฏิเสธไม่ได้ว่าชิป Qualcomm ถือเป็นชิปที่ได้รับความนิยมสูง ณ ตอนนี้มีมือถือราวๆ 3,000 ล้านเครื่องทั่วโลกใช้งานชิปในตระกูล Snapdragon รุ่นใดรุ่นหนึ่งอยู่
เมื่อมีผู้ใช้งานเยอะ ช่องโหว่ที่แม้จะเล็กน้อยก็เป็นสิ่งที่น่าสนใจสำหรับแฮคเกอร์ เนื่องจากสามารถใช้กับเหยื่อได้จำนวนมาก ทาง Check Point Security พบช่องโหว่ราวๆ 400 จุดในชิป DSP (Digital Signap Processor) ของ Qualcomm ทำให้ผู้ผลิตมือถือไม่ว่าจะเป็น Gogole, Samsung, LG, Xiaomi, OnePlus, OPPO, Vivo ต่างได้รับผลกระทบหมดทุกราย โดยช่องโหว่นี้ถูกตั้งชื่ออย่างไม่เป็นทางการว่า Archilles
ถ้าถามว่าช่องโหว่เหล่านี้แฮคเกอร์สามารถนำไปทำอะไรได้บ้าง ก็ตอบเลยว่าเพียบ แต่สรุปหมวดหมู่การโจมตีออกมาได้ดังนี้
- ผู้โจมตีสามารถเปลี่ยนโทรศัพท์ให้กลายเป็นเครื่องดักฟังสมบูรณ์แบบ โดยที่ผู้ใช้งานไม่ต้องเผลอทำอะไรที่เปิดช่องให้คนร้ายเข้ามาควบคุมเลย ไม่ว่าจะเป็นภาพถ่าย วิดิโอ เสียงที่คุยโทรศัพท์ เปิดไมโครโฟนแอบฟังเมื่อไหร่ก็ได้ รวมไปถึงตำแหน่ง GPS
- ผู้โจมตีสามารถทำให้โทรศัพท์มือถือใช้งานไม่ได้ ทำให้ข้อมูลในเครื่องสูญหายหมด เข้าสู่สภาพ DoS (Denial of service)
- มัลแวร์สามารถแอบซ่อนตัวอยู่ในมือถือ และทำให้ไม่สามารถลบทิ้งได้แม้จะถูกตรวจพบก็ตาม
ทาง Qualcomm รับทราบถึงช่องโหว่เหล่านี้ใน DSP แล้ว และแจ้งผู้ผลิตมือถือให้อัพเดทแพทช์ที่ทาง Qualcomm แก้ให้เร็วที่สุด โดยช่องโหว่เหล่านี้ได้รับ CVE จำนวนมากเช่นกัน ไม่ว่าจะเป็น
- CVE-2020-11201
- CVE-2020-11202
- CVE-2020-11206
- CVE-2020-11207
- CVE-2020-11208
- CVE-2020-11209
ณ ตอนนี้ทาง Check Point ยังไม่เผยรายละเอียดช่องโหว่ทั้งหดออกมา เนื่องจากรอให้บรรดาผู้ผลิตมือถือทั้งหลายออกแพทช์ความปลอดภัยให้กับผู้ใช้งานก่อน แต่ก็ได้ตีพิมพ์ประกาศถึงช่องโหว่ให้สื่อมวลชนและประชาชนรับทราบ เพื่อกดดันให้ผู้ผลิตมือถือเร่งออกแพทช์ความปลอดภัย
ถ้าถามว่า DSP นั้นมีหน้าที่ทำอะไรบ้าง ตัวมันมีหน้าที่แปลงสัญญาณดิจิตอล (ทั้งไปและกลับ) โดยมักจะฝังตัวอยู่ใน SoC กับชิปอื่นๆ เช่น CPU, GPU นั่นเอง หน้าที่ที่เราพอจะอธิบายแล้วเห็นภาพได้ก็
- ทำหน้าที่ควบคุมการจ่ายไฟ (เช่น Quick Charge)
- ทำการประมวลผลภาพ วิดิโอ เช่นการอัดภาพวิดิโอ การเรนเดอร์ AR ขึ้นบนหน้าจอ
- ทำการประมวลผลไฟล์เสียงแทบทุกชนิด
โดยปกติแล้ว DSP มักจะเป็นกล่องแห่งความลับที่มีเพียงผู้ผลิตเท่านั้นที่รู้ว่ามันออกแบบอย่างไร และถูกใช้งานอย่างไรบ้าง โดยมือถือแต่ละรุ่นก็มีการใช้งานที่แตกต่างกันออกไป ทำให้หลายครั้งผู้ผลิตไม่คิดว่าจะถูกใช้โจมตี จึงไม่ได้วางระบบความปลอดภัยที่รัดกุมเพียงพอ
ที่มา – Checkpoint
You must be logged in to post a comment.