クアルコムのチップに世界の携帯電話40%超をハック可能にする脆弱性

クアルコムのSnapdragon システムオンチップ(SoC)を搭載した数百万台のスマートフォンのメーカーは、クアルコムによって導入された製品の数々のセキュリティ上の欠陥に対処する必要性があると勧告を受けました。これらのソフトウェアレベルの脆弱性は、世界の携帯電話の40%以上に影響を与える可能性があることが明らかになっています。

クアルコムのチップに世界の携帯電話40%超をハック可能にする脆弱性

7月に開かれた世界最高峰のハッキングコンテスト「DEF CON」では、クアルコムのSnapdragon システムオンチップ(SoC)を搭載した数億台のスマートフォンのメーカーは、クアルコムによって導入された製品の数々のセキュリティ上の欠陥に対処する必要性があると勧告を受けました。

これらのソフトウェアレベルの脆弱性は、世界の携帯電話の40%以上に影響を与える可能性があることが明らかになっており、今週、その概要が発表されました。

Check Point ResearchのInfosec専門家はクアルコムのSnapdragonチップ・ファミリのデジタル信号処理(DSP)コアの制御に使用されているコードに400以上のプログラミング上の誤りが見つかったと報告しました。これらのエンジンは、膨大な数のAndroid携帯電話で画像や音声などの情報の処理を高速化しています。

DEF CONでこの脆弱性について語ったCheck Point ResearchのSlava Makkaveevによると、この欠陥はクアルコムのHexagon SDKにリンクしており、DSPエンジンをプログラムしてタスクを実行するために使用されています。

クアルコムのコードサイニング (Codesigning) 証明書の検証がバイパスされ、悪意のあるAndroidアプリがDSP上で任意の命令を実行し、その位置からデバイス全体を制御することができるようになっているようです。

技術的な詳細は公開されていませんが、ガジェット・メーカーがクアルコムの修正プログラムを実装して展開するまでに時間がかかるためです。Check Pointは、不正なアプリケーションがこの欠陥を悪用して、デバイスからデータを吸い上げたり、通信を盗聴したり、ハンドヘルドをクラッシュさせたり、任意のコードを実行したりする可能性があると主張しています。

特定されたすべてのバグが危険であるわけではありませんが、6つの個別の CVE を保証するには十分な数です。CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209 です。Check Pointでは、Qualcomm社のプローブを総称して「Achilles」と呼んでいますが、これは大量のCVEよりも記憶に残りやすいからです。

Image via Qualcomm

Read more

AI時代のエッジ戦略 - Fastly プロダクト責任者コンプトンが展望を語る

AI時代のエッジ戦略 - Fastly プロダクト責任者コンプトンが展望を語る

Fastlyは、LLMのAPI応答をキャッシュすることで、コスト削減と高速化を実現する「Fastly AI Accelerator」の提供を開始した。キップ・コンプトン最高プロダクト責任者(CPO)は、類似した質問への応答を再利用し、効率的な処理を可能にすると説明した。さらに、コンプトンは、エッジコンピューティングの利点を活かしたパーソナライズや、エッジにおけるGPUの経済性、セキュリティへの取り組みなど、FastlyのAI戦略について語った。

By 吉田拓史
宮崎市が実践するゼロトラスト:Google Cloud 採用で災害対応を強化し、市民サービス向上へ

宮崎市が実践するゼロトラスト:Google Cloud 採用で災害対応を強化し、市民サービス向上へ

Google Cloudは10月8日、「自治体におけるゼロトラスト セキュリティ 実現に向けて」と題した記者説明会を開催し、自治体向けにゼロトラストセキュリティ導入を支援するプログラムを発表した。宮崎市の事例では、Google WorkspaceやChrome Enterprise Premiumなどを導入し、災害時の情報共有の効率化などに成功したようだ。

By 吉田拓史