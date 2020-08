Kdy se zkusíte zamyslet, kolik procesorů se vlastně nalézá ve vašem chytrém telefonu, odpověď vás možná překvapí. Jen SoC Snapdragon od Qualcommu, což je jeden z nejužívanějších čipů pro chytré telefony střední a vyšší třídy, jich obsahuje celou řadu. Každý z nich představuje potenciální útočný vektor. Když se pak skutečně ukáže, že je některý z nich obsahuje zranitelnosti, problém je na stole.

Přesně to se nedávno prokázalo u DSP čipů právě od výše zmiňovaného amerického výrobce. Výzkumníci izraelského Check Pointu odhalili v těchto čipech na 400 zranitelností dosud neznámého typu. Celý způsob útoku na letošním DEF CONu ve zkratce shrnul bezpečnostní výzkumník Slava Makkaveev ve své zhruba dvacetiminutové přednášce Pwn2Own Qualcomm Compute DSP for Fun and Profit:

Společnost později vydala na toto téma také tiskovou zprávu, která se sice zmiňuje o překvapivém množství objevených zranitelností, samotným útokem se ale příliš zabývá a je psána velmi diplomaticky ve vztahu k postiženému výrobci čipů.

V čem je chyba

Na jednom průměrném mobilním čipu nalezneme nejčastěji hned pět procesorů – ARM-based CPU, GPU, bezdrátový modem, Image Signal Processor a právě DSP, neboli digitální signálový procesor. DSP (který se dále dělí podle funkce cDPS, aDPS, mDPS, sDPS) obstarává celou škálu úkonů, jeho hlavním benefitem je přitom vždy vysoký specializovaný výkon při velmi nízké spotřebě energie. Zaměřuje se na práci se signály v reálném čase a jejich přeměnu na zpracovatelná data (například rozpoznává váš hlas, když řeknete „Ahoj, Google!“).

Technologie je zajímavá i tím, že tento typ čipů (které mimochodem představují obrovský a rychle rostoucí byznys) je na trh dodáván jako „černá skříňka“, kterou mohou spravovat a programovat jen privilegovaní OEM dodavatelé softwaru. Spuštěný kód pak musí být podepsán výrobcem, v našem případě společností Qualcomm.

V případě poměrně zásadního subsystému aDSP (audio digital-signal processing) a cDSP (compute digital-signal processing) se ovšem ukázalo, že může aplikace pro Android obejít podpis Qualcommu a spustit privilegovaný kód na DSP. To otevírá dveře škále útoků (spuštění privilegovaného kódu, DoS, ale i dalších).

V případě Qualcommu se základní pochybení nalézalo na straně (Hexagon) SDK pro již zmiňované dodavatele softwaru. Několik vážných chyb v SDK ve finále vedlo ke stovkám skrytých zranitelností jak přímo v kódu vlastněného Qualcommem, tak v kódu jeho partnerů. Jako zranitelné se ukázaly prakticky všechny DPS knihovny, které se nalézají v SoC architektuře výrobce. Většina těchto bezpečnostních mezer byla navíc generována zcela automaticky.

Opravy potrvají měsíce

Qualcomm ve svých CPU využívá vlastní DSP označené jako Hexagon. Na tomto DSP běží operační systém QuRT OS, který, jak již bylo řečeno, spouští pouze kód podepsaný Qualcomem. Kvůli chybám v existujících knihovnách je ovšem možné neautorizovaně spouštět na DSP procesoru privilegovaný kód a přeměnit tak telefon například na velmi efektivní špehovací zařízení (využívat mikrofon, kameru, nahrávání hovorů), nebo z nich pohodlně vytáhnout třeba zvuková, obrazová a lokalizační data.

Možnosti jsou však širší, útočníci mohou také s využitím zranitelností mobilní telefon znefunkčnit (provedení Denial of service útoku) a celý škodlivý kód je přitom možné kompletně zneviditelnit a stejně tak jej využít ke skrytí jiného malwaru. K úspěšnému útoku přitom stačí přesvědčit oběť k nainstalování zdánlivě neškodné aplikace, která nepotřebuje žádná systémová oprávnění, takže nemusí vzbudit podezření.