Kaspersky ICS CERT-ի փորձագետները Unisoc չիպերում կրիտիկական խոցելիություններ են հայտնաբերել
Kaspersky ICS CERT-ի փորձագետները կրիտիկական խոցելիություններ են հայտնաբերել Unisoc չիպերում, որոնք սարքերում լայնորեն օգտագործվում են Ռուսաստանում, Ասիայում, Աֆրիկայում և Լատինական Ամերիկայում՝ սմարթֆոններում, պլանշետներում, ավտոմեքենաներում և հեռահաղորդակցական սարքավորումներում: Խոցելիություններին տրվել են CVE-2024-39432 և CVE-2024-39431 նույնացուցիչները։ Ինչպես հայտնում է «Կասպերսկի» ընկերությունը, հայտնաբերված սողանցքերը թույլ են տալիս շրջանցել անվտանգության միջոցները և ստանալ չարտոնված հեռավար հասանելիություն հավելվածների պրոցեսորին (Application Processor) SoC-ում (System on Chip) ներկառուցված մոդեմի միջոցով:
Գրոհողները կարողանում են շրջանցել հավելվածների պրոցեսորով աշխատող ՕՀ-ի պաշտպանական մեխանիզմները, հեռավար հասանելիություն ստանալ դրա միջուկին, կատարել չարտոնված կոդ՝ ՕՀ-ի միջուկի մակարդակի արտոնություններով, և փոփոխել կամայական համակարգային ֆայլեր: Գրոհների վեկտորները ներառում են հիշողությանն ուղղակի հասանելիության (DMA) կոնտրոլերի մանիպուլյացիայի տեխնիկաներ, որոնք թույլ են տալիս շրջանցել առկա պաշտպանական միջոցները, ինչպիսին է հիշողության պաշտպանության մոդուլը (MPU): Այս մեթոդը հիշեցնում է 2023-ին «Կասպերսկի» ընկերության փորձագետների կողմից հայտնաբերված «Տրիանգուլյացիա գործողության» մարտավարությունը։ Մեծ բարդության և ճարտարության պատճառով նման մեթոդներ կարող են օգտագործել միայն լուրջ տեխնիկական հմտություններ և ռեսուրսներ ունեցող չարագործները:
Հայտնաբերված խոցելիություններից կարող են տուժել ինչպես խոցելի վերջնական սարքերի անհատ օգտատերերը, այնպես էլ կազմակերպությունները: Ավտոտրանսպորտի կամ հեռահաղորդակցության նման կրիտիկական կարևոր ոլորտներում կիրառվող խոցելի սարքերի վրա գրոհները կարող են ոչ միայն մեծ վնաս հասցնել գրոհի ենթարկված ձեռնարկությանը, այլև ունենալ ենթակառուցվածքային մակարդակի լուրջ հետևանքներ տնտեսության շատ այլ ոլորտների համար:
«Չիպերի անվտանգությունը բարդ թեմա է. կիբեռռիսկերը պետք է հաշվի առնել ինչպես միկրոսխեմաների նախագծման, այնպես էլ չիպ օգտագործող վերջնական արտադրանքի ճարտարապետության մեջ: Չիպերի շատ արտադրողներ առաջին տեղում են դնում ներքին սարքի և իրենց պրոցեսորների աշխատանքի մասին տեղեկատվության գաղտնիությունը՝ մտավոր սեփականությունը պաշտպանելու համար: Սա միանգամայն հասկանալի է, սակայն փակ ճարտարապետությունը և չփաստաթղթավորված ֆունկցիոնալությունը հաճախ ուղեկցվում են իրականացման սխալներով և անվտանգության խնդիրներով, որոնք դժվար է վերացնել արտադրանքի շուկա մուտք գործելուց հետո: Մեր ուսումնասիրությունն ընդգծում է, թե որքան կարևոր է, որ չիպ արտադրողները, վերջնական պրոդուկտների մշակողները և կիբեռանվտանգության մասնագետների համայնքն ավելի սերտ համագործակցեն միմյանց հետ, ինչը կօգնի վաղ փուլերում հայտնաբերել հնարավոր խոցելիությունները և նվազեցնել դրանց ուշ հայտնաբերման ու գրոհողների կողմից օգտագործման ռիսկերը»,- մեկնաբանում է Kaspersky ICS CERT-ի ղեկավար Եվգենի Գոնչարովը:
«Կասպերսկի» ընկերությունից խոցելիությունների մասին ծանուցում ստանալուց հետո Unisoc-ը արագորեն մշակել և թողարկել է անվտանգության շտկումներ՝ հայտնաբերված խնդիրները վերացնելու համար:
Սակայն SoC-ի ապարատային ճարտարապետության առանձնահատկությունները թույլ չեն տալիս մեկընդմիշտ վերացնել այս տեսակի գրոհների հնարավորությունը մոդեմում նմանատիպ նոր խոցելիությունների հայտնաբերման դեպքում: Փորձագետները խորհուրդ են տալիս օգտագործել անվտանգության նկատմամբ բազմամակարդակ մոտեցում, որը ներառում է ինչպես ծրագրային շտկումների տեղադրումը, այնպես էլ պաշտպանության լրացուցիչ միջոցները:
-
11:12 31/10/24Գիտությունը՝ արվեստի լեզվով. Կապի թանգարանում կայացավ Գիտության շաբաթվա մրցանակաբաշխություն
-
14:59 11/10/24Team Talks փոդքասթը WCIT-ի մասնակից դարձրեց բոլոր ցանկացողներին
-
13:22 25/09/24Լայնածավալ վերազինում Team Telecom Armenia-ի ցանցում
-
11:27 17/09/24Team Telecom Armenia-ն WCIT2024/DigiTec-ի տեխնոլոգիական գործընկերն է․ կնքվեց փոխըմբռնման հուշագիր
-
14:34 13/11/24Երևանում կկայանա Silicon Mountains ամենամյա գագաթնաժողովը
-
15:03 06/12/23Հայաստանից ամենաշատ ներբեռնվող հավելվածները. 06/12/2023
-
14:28 05/09/23Հայաստանից ամենաշատ ներբեռնվող հավելվածները. 04/09/2023
-
19:31 22/09/22Level Up միայն ուսանողների համար․ Ucom-ն առաջարկում է ինտերնետի x2 և x3 ծավալ
-
14:19 28/06/22Վիվա-ՄՏՍ. Փոփոխություններ «Ղարաբաղ Տելեկոմ» ցանցում ռոումինգ ծառայության պայմաններում
-
19:29 12/10/21Վիվա-ՄՏՍ. «iPhone 13» և «iPhone 13 Pro»-ի վաճառքին մնացել են հաշված օրեր
-
18:58 28/09/20Շարժական կապի օպերատորների համատեղ հայտարարությունը
-
18:57 13/08/20Վիվա-ՄՏՍ. «Լիցք+». այժմ արդեն մինչև 2000 Դ չափով
-
12:15 11/08/192019թ. առաջին կիսամյակում ՀՀ խոշոր հեռահաղորդակցական ընկերությունների մուծած հարկերի ծավալը նվազել է մոտ 23.07%-ով
-
16:27 03/05/19Ռոստելեկոմ. նոր առաջարկ՝ երեք ամիս կես գնով
-
13:56 04/12/18Ռոստելեկոմ․ Հայտնի են STARTUP BOOST WEEKEND Vol3 նախագծի հաղթողները
-
16:07 27/09/18Ռոստելեկոմը ռեբրենդինգ է իրականացրել
-
12:11 14/02/24Picsart-ն ամենաորոնվածն է App Store-ում
-
14:59 02/06/23TalkAround․ Գեներատիվ AI-ը գործնականում. մարտահրավերներ և հնարավորություններ
-
21:00 26/03/23Հայկական Picsart-ը՝ Forbes-ի 14 ուշագրավ ու խելահեղ արհեստական բանականության գործիքների շարքում
-
16:48 03/02/23Հայկական Picsart-ն աշխարհի 20 լավագույն հավելվածների շարքում է