ຖ້າ,ການຂາດແຄນຫຼັກຂອງໂລກຍັງສືບຕໍ່,ຈາກບໍລິສັດລົດຍົນ、ຜູ້ຜະລິດໂທລະສັບມືຖືແຜ່ຂະຫຍາຍໄປສູ່ອຸດສາຫະກໍາເຄື່ອງໃຊ້ໃນເຮືອນ,ສະກັດກັ້ນຄວາມຄືບໜ້າການຜະລິດຜະລິດຕະພັນວິສາຫະກິດ,ເພີ່ມຕົ້ນທຶນການຜະລິດ,ຜົນກະທົບທາງອ້ອມຕໍ່ຜູ້ບໍລິໂພກ。ດັ່ງນັ້ນ,ຊ່ອງໂຫວ່ຄວາມປອດໄພຂອງຊິບຈະສົ່ງຜົນກະທົບຢ່າງຮ້າຍແຮງຕໍ່ຄວາມເປັນສ່ວນຕົວ ແລະຂໍ້ມູນຕ່າງໆຂອງຜູ້ໃຊ້。Qualcomm ສືບຕໍ່ເນື່ອງມາຈາກບັນຫາຄວາມສາມາດ,chip backorder ຫຼັງຈາກ 7 ເດືອນ,ວິກິດການຮອບໃໝ່。
ຫຼັງຈາກວັນພັກເດືອນພຶດສະພາ,ບໍລິສັດຄວາມປອດໄພໃນຕ່າງປະເທດ Check Point Research ພົບເຫັນຊ່ອງໂຫວ່ໃນຊິບໂມເດັມ Qualcomm (MSM).,ຊິບໂມເດັມສ່ວນໃຫຍ່ແມ່ນຮັບຜິດຊອບຕໍ່ຫນ້າທີ່ການສື່ສານຂອງໂທລະສັບມືຖື,ດ້ວຍ 2G、3ກ、4ກ、5G-capable system-on-chip (ລະບົບຄົບຊຸດໃນຊິບດຽວ)。
ນັ້ນແມ່ນເວົ້າ,ຜູ້ໃຊ້ສົ່ງຂໍ້ຄວາມໃນໂທລະສັບມືຖື、ໂທຫາ、ການເຂົ້າເຖິງອິນເຕີເນັດຕ້ອງການຊິບໂມເດັມ,ແລະເມື່ອມີຊ່ອງໂຫວ່ຢູ່ໃນຊິບໂມເດັມ,ແຮກເກີ ຫຼືຜູ້ໂຈມຕີເຄືອຂ່າຍສາມາດໃຊ້ລະບົບໂທລະສັບມືຖື Android ໄດ້,ຂູດຮີດຊ່ອງໂຫວ່ເຫຼົ່ານີ້,ສັກຢາທີ່ເປັນອັນຕະລາຍ、ລະຫັດທີ່ເບິ່ງບໍ່ເຫັນ。
ຫຼັງຈາກຖືກໂຈມຕີໂດຍພວກແຮກເກີ,ຂໍ້ຄວາມຂອງຜູ້ໃຊ້、ບັນທຶກການໂທ、ຂໍ້ມູນການໂທ,ເຖິງແມ່ນວ່າປົດລັອກໂມດູນຕົວຕົນຂອງຜູ້ໃຊ້ໃນອຸປະກອນມືຖື,ເກັບຮັກສາຂໍ້ມູນການກວດສອບເຄືອຂ່າຍຜູ້ໃຊ້ແລະຂໍ້ມູນຕິດຕໍ່。
ມີລາຍງານວ່າ,ຂໍ້ມູນສາທາລະນະອິນເຕີເນັດສະແດງໃຫ້ເຫັນ,ປະມານ 40% ຂອງໂທລະສັບມືຖືໃນຕະຫຼາດໂລກໃຊ້ຊິບ Qualcomm,ຜູ້ຜະລິດໂທລະສັບມືຖືເຫຼົ່ານີ້ລວມມີ Google、Samsung、ເຂົ້າປຸ້ນ、OPPO、vivo、OnePlus ແລະຍີ່ຫໍ້ໂທລະສັບມືຖືອື່ນໆ。ນີ້ຫມາຍຄວາມວ່າ,ເກືອບເຄິ່ງຫນຶ່ງຂອງຜູ້ໃຊ້ໂທລະສັບມືຖືຂອງໂລກ,ອາດຈະປະເຊີນກັບການລະເມີດຄວາມເປັນສ່ວນຕົວ,ໂທລະສັບມືຖືຖືກຕິດຕາມຈາກໄລຍະໄກ、ແຊ່ແຂງ,ຄວາມສ່ຽງຂອງການສູນເສຍຂໍ້ມູນ。
ຊ່ອງໂຫວ່ຂອງຊິບໂທລະສັບມືຖືມີບັນຫາຫຍັງ? ບໍ່ວ່າຈະເປັນພຽງແຕ່ຫຼັງຈາກໄດ້ຮັບການສ້ອມແປງໂດຍຊອບແວແກ້ໄຂ,ຄວາມສ່ຽງສາມາດແກ້ໄຂໄດ້ງ່າຍບໍ? ການຮົ່ວໄຫຼອາດຈະບໍ່ເປັນໄປໃນແງ່ດີ,ມີແນວໂນ້ມທີ່ຈະບໍ່ໄດ້ຮັບການແກ້ໄຂເລີຍ。
ເຕັມໄປດ້ວຍຊ່ອງຫວ່າງ
ນີ້ບໍ່ແມ່ນຄັ້ງທໍາອິດ Qualcomm ໄດ້ເຫັນຂໍ້ບົກຜ່ອງຂອງຊິບ。
2020 ປີ,ການສຶກສາຢູ່ໃນກອງປະຊຸມການແຮັກທົ່ວໂລກຂອງ DEFCON ເປີດເຜີຍ,ຫົກຊ່ອງໂຫວ່ທີ່ສໍາຄັນໃນຊິບມືຖືຂອງ Qualcomm,ຈະສົ່ງຜົນກະທົບຕໍ່ໂທລະສັບສະຫຼາດແລະແທັບເລັດ Android ຫຼາຍສິບພັນຄົນ。ນັກຄົ້ນຄວ້າ Cybersecurity ຍັງພົບເຫັນ,ຊ່ອງໂຫວ່ສ່ວນໃຫຍ່ແມ່ນຊິບ DSP ຂອງ Qualcomm (ໂຮງງານຜະລິດສັນຍານດິຈິຕອນ),DSP ຮັບຜິດຊອບ、ວິດີໂອ、ການບໍລິການເຊັ່ນ: ເຊັນເຊີສະຖານທີ່ GPS ເຂົ້າໄປໃນຂໍ້ມູນທີ່ສາມາດຄິດໄລ່ໄດ້,ຄວບຄຸມການປະມວນຜົນການຮ້ອງຂໍແບບສົດໆລະຫວ່າງລະບົບ Android ຂອງຜູ້ໃຊ້ກັບຮາດແວຂອງໂປເຊດເຊີ Qualcomm。
ຖ້າ DSP ມີຂໍ້ບົກພ່ອງ,ແຮກເກີສາມາດເກັບກໍາໂດຍ arbitrarily、ເຂົ້າເຖິງຮູບພາບຂອງຜູ້ໃຊ້、ວິດີໂອ、ບັນທຶກການໂທ,ແລະຂໍ້ມູນແບບສົດໆຈາກໄມໂຄຣໂຟນ、ຂໍ້ມູນສະຖານທີ່ GPS ແລະອື່ນໆອີກ。
ຈິນຕະນາການ,ຂໍ້ມູນສະຖານທີ່ບໍ່ຢູ່ຫ້ອງການຂອງຜູ້ໃຊ້,ແລະຮູບຖ່າຍ、ວິດີໂອ,ແມ່ນແຕ່ເວົ້າກັບຄົນທີ່ໃຊ້ໄມໂຄຣໂຟນ,ສາມາດຖືກແຮັກຈາກໄລຍະໄກ、ຜູ້ໂຈມຕີ cyber ຮູ້ມັນທັງຫມົດ。ຮ້າຍແຮງ,ແຮກເກີສາມາດທໍາລາຍໂທລະສັບເປົ້າຫມາຍດັ່ງກ່າວ,ເປີດໄມໂຄຣໂຟນຜູ້ໃຊ້ຈາກໄລຍະໄກ,ຖິ້ມ malware ທີ່ໂທລະສັບພຽງແຕ່ບໍ່ສາມາດກວດພົບ,ເປີດຕົວການໂຈມຕີປະຕິເສດການບໍລິການ,ໂທລະສັບ freeze,ໃຊ້ຂໍ້ມູນໃນໂທລະສັບຂອງທ່ານຢ່າງເສລີ。
ມັນເປັນມູນຄ່າທີ່ສັງເກດວ່າ,ຫຼາຍກວ່າ 400 ລະຫັດທີ່ມີຄວາມສ່ຽງໃນຊິບ Qualcomm DSP,ຜູ້ຜະລິດ、ຕາບໃດທີ່ຜູ້ໃຊ້ບໍ່ມີການແຊກແຊງໃດໆ,ໂທລະສັບມືຖືສາມາດປ່ຽນເປັນ 'ເຄື່ອງມືສອດແນມ'。
ແຕ່ຄັ້ງສຸດທ້າຍແມ່ນແຕກຕ່າງຈາກປີ 2020,ຊ່ອງໂຫວ່ຂອງ Qualcomm ປາກົດຢູ່ໃນຊິບໂມເດັມ。
ດັ່ງທີ່ອະທິບາຍໄວ້ຂ້າງເທິງ,ໂມເດັມແມ່ນຮັບຜິດຊອບຕໍ່ຫນ້າທີ່ການສື່ສານຂອງໂທລະສັບມືຖື,ເຮັດການປຽບທຽບ,ໃນປັດຈຸບັນໂທລະສັບມືຖືຢູ່ໃນຕະຫຼາດແມ່ນຄ່ອຍໆຍົກລະດັບເປັນໂທລະສັບມືຖື 5G,ປະສິດທິພາບ 5G ມືຖື、ຫນ້າທີ່ເຊັ່ນການຮັບສັນຍານສ່ວນໃຫຍ່ແມ່ນຂຶ້ນກັບການປະຕິບັດຂອງຊິບໂມເດັມ。
ຄືກັນກັບຊ່ອງໂຫວ່ຂອງຊິບ DSP,ແຮກເກີປູກລະຫັດອັນຕະລາຍເຂົ້າໄປໃນຊິບໂມເດັມຜ່ານ Android,cybercriminals ສາມາດຄົ້ນຫາລະຫັດ 5G ຫຼ້າສຸດຈາກຜູ້ຜະລິດໄດ້ຢ່າງງ່າຍດາຍ。ສະຖານທີ່ຂອງຊິບທີ່ລະຫັດຖືກໃສ່ແມ່ນແຕກຕ່າງກັນ,ຜົນກະທົບຕໍ່ຫນ້າທີ່ແຕກຕ່າງກັນ。
ຍົກຕົວຢ່າງ,ຊິບໂມເດັມສ່ວນໃຫຍ່ແມ່ນສຸມໃສ່ການທໍາງານຂອງການໂທໂທລະສັບມືຖື,ເຂົ້າເຖິງປະຫວັດການໂທຂອງຜູ້ໃຊ້,ຕິດຕາມການສົນທະນາຂອງຜູ້ໃຊ້,ປົດລັອກຊິມກາດໂທລະສັບ,ນອກເຫນືອຈາກການຄວບຄຸມຂອງຜູ້ປະຕິບັດງານໂທລະຄົມ。
ໃນກໍລະນີໃດກໍ່ຕາມ, ຊ່ອງໂຫວ່ຂອງຊິບເຫຼົ່ານີ້ຈະປົກປ້ອງຂໍ້ມູນຄວາມເປັນສ່ວນຕົວຂອງຜູ້ໃຊ້、ຜົນກະທົບອັນໃຫຍ່ຫຼວງຕໍ່ຄວາມປອດໄພຂອງຊັບສິນ。ບາງຄົນເວົ້າວ່າ,ບໍລິສັດຊິບສາມາດຫລີກລ່ຽງຊ່ອງໂຫວ່ເຫຼົ່ານີ້ໄດ້ຢ່າງສົມບູນຈາກການຖືກຂູດຮີດໂດຍອາດຊະຍາກອນໃນອິນເຕີເນັດໂດຍການປົດປ່ອຍຊ່ອງໂຫວ່.,ແຕ່ຕົວຈິງແລ້ວ,ມັນບໍ່ງ່າຍທີ່ຈະປະຕິບັດ。
ບັນຫາຫຼືບໍ່ມີການແກ້ໄຂ
ຫຼັງຈາກຄວາມອ່ອນແອຂອງຊິບໄດ້ຖືກປະກາດໂດຍອົງການພາກສ່ວນທີສາມ,Qualcomm ປະຕິເສດທີ່ຈະໃຫ້ຄໍາເຫັນ,ແທນທີ່ຈະ, ມັນໄດ້ອອກຖະແຫຼງການໂດຍກ່າວວ່າ,Qualcomm ກໍາລັງກວດສອບບັນຫາ ແລະໃຫ້ OEMs ມີ buffers ທີ່ເຫມາະສົມ,ປະຈຸບັນຍັງບໍ່ມີຫຼັກຖານທີ່ວ່າຊ່ອງຫວ່າງເຫຼົ່ານີ້ຖືກຂູດຮີດ,ແນ່ນອນ,Qualcomm ຊຸກຍູ້ໃຫ້ຜູ້ໃຊ້ອັບເດດແພັດອຸປະກອນ。
ຄໍາຖະແຫຼງການຂອງ Qualcomm ໃນການປອມຕົວຮັບຮູ້ວ່າມີຊ່ອງໂຫວ່ທີ່ມີຄວາມສ່ຽງສູງເຫຼົ່ານີ້。ຕົວຈິງແລ້ວ,2020 ປີຂອງ DSP Chip Vulnerabilities ຍາວກ່ອນທີ່ຜູ້ໂຈມຕີພາກສ່ວນທີສາມຄົ້ນພົບ,Qualcomm ໄດ້ສັງເກດເຫັນ,ແລະໃນເດືອນກໍລະກົດຂອງປີດຽວກັນໄດ້ພັດທະນາ patch ສໍາລັບ cracking ບາງ WPA2 ເຄືອຂ່າຍໄຮ້ສາຍ encrypted,ຫຼັງຈາກນັ້ນ, ໃນເດືອນທັນວາ,Patches ສໍາລັບບາງຊ່ອງໂຫວ່ໄດ້ຖືກປ່ອຍອອກມາອີກເທື່ອຫນຶ່ງ。
ແຕ່ເຖິງແມ່ນວ່າ Qualcomm ໄດ້ອອກ patch,ຜົນກະທົບຈະບໍ່ເປັນໄປຕາມຄາດ。ຄໍາເວົ້າຈາກ Yaniv Balmas, ຫົວຫນ້າການຄົ້ນຄວ້າຂອງ Check Point,“ຂໍ້ບົກພ່ອງຂອງຊິບເຫຼົ່ານີ້ເຮັດໃຫ້ໂທລະສັບມືຖືຫຼາຍຮ້ອຍລ້ານເຄື່ອງແລ່ນເປືອຍກາຍທົ່ວໂລກ.,ການແກ້ໄຂໂທລະສັບເຫຼົ່ານີ້ແມ່ນເປັນວຽກງານທີ່ເປັນໄປບໍ່ໄດ້。」
ໃນອີກດ້ານຫນຶ່ງ,ເພີ້ມເຫຼົ່ານີ້ແມ່ນສ່ວນໃຫຍ່ແມ່ນສໍາລັບຜູ້ໃຊ້ທີ່ຍົກລະດັບລະບົບ Android ໃຫມ່,ຜູ້ໃຊ້ເວີຊັນ Android ເກົ່າບໍ່ໄດ້ຮັບການປ້ອງກັນ。ການສະແດງຂໍ້ມູນສະຖິຕິສະຖິຕິ,ປະມານ 19% ຂອງໂທລະສັບ Android ທົ່ວໂລກໃຊ້ Android Pie ຂອງ Google ທີ່ປ່ອຍອອກມາໃນເດືອນສິງຫາ 2018 9.0 ລະບົບປະຕິບັດການ,ຫຼາຍກວ່າ 9% ຂອງໂທລະສັບຂອງຜູ້ໃຊ້ແມ່ນໃຊ້ Android ຂອງ Google ທີ່ປ່ອຍອອກມາໃນເດືອນທັນວາ 2017 8.1 ລະບົບປະຕິບັດການ Oreo。ສ່ວນຫຼາຍຂອງຜູ້ໃຊ້ໂທລະສັບ Android ແມ່ນສະບັບເກົ່າ。
ໃນອີກດ້ານຫນຶ່ງ,Qualcomm ເປັນພຽງການເຊື່ອມຕໍ່ດຽວໃນລະບົບຕ່ອງໂສ້ທັງໝົດຂອງເຫດການວິກິດດ້ານຄວາມປອດໄພຂອງຊິບ,ຜູ້ຜະລິດ OEM, i.e. ຜູ້ຜະລິດໂທລະສັບມືຖື, ຍັງຕ້ອງການ,ການຮ່ວມມືຂອງ Google。Qualcomm ຕ້ອງການແກ້ໄຂຂໍ້ບົກຜ່ອງໃນຊິບ ແລະຮາດແວປະຕິບັດງານກ່ອນ,ສົ່ງຄືນໃຫ້ຜູ້ຜະລິດໂທລະສັບມືຖື,ຫຼືປ່ອຍໃຫ້ການແກ້ໄຂໃຫ້ກັບຜູ້ຜະລິດໂທລະສັບ。
ການແກ້ໄຂຂໍ້ຜິດພາດຂອງ Qualcomm ແມ່ນບໍ່ພຽງພໍ,ຜູ້ຜະລິດມືຖືສາມາດຮັບປະກັນໄດ້ແນວໃດວ່າ patches ໄດ້ຖືກປະສົມປະສານເຂົ້າໄປໃນມືຖືທີ່ກໍາລັງປະກອບຫຼືຢູ່ໃນຕະຫຼາດ,ດ້ວຍຄວາມບໍ່ແນ່ນອນອັນໃຫຍ່ຫຼວງ。ເປັນທີ່ຮູ້ຈັກດີ,ຜູ້ຜະລິດໂທລະສັບມືຖືປັບປຸງລະບົບຊ້າໆ,ຍົກຕົວຢ່າງ,2019 ປີ Google ປ່ອຍ Android ຮຸ່ນທີ່ຫມັ້ນຄົງ 10 ກັບຄືນ,ຜູ້ໃຊ້ສ່ວນໃຫຍ່ຕ້ອງການຢ່າງຫນ້ອຍຫນຶ່ງປີເພື່ອປ່ຽນໄປສູ່ລະບົບໂທລະສັບໃຫມ່。ຖ້າລຸ້ນໂທລະສັບມືຖືຕໍ່າເກີນໄປ ຫຼືນະໂຍບາຍການບໍລິການແຕກຕ່າງກັນ,ໂທລະສັບບາງລຸ້ນກໍ່ບໍ່ສາມາດອັບເດດລະບົບຫຼ້າສຸດໄດ້。ໃນຂະນະທີ່ Google ເປັນຜູ້ພັດທະນາລະບົບໂທລະສັບມືຖື,ແຕ່ວ່າມັນບໍ່ສາມາດປັບປຸງໂດຍກົງລະບົບຫລ້າສຸດແລະ patches ສໍາລັບຜູ້ໃຊ້ໂທລະສັບມືຖື。
ສໍາຄັນກວ່າ,ຄວາມສັບສົນຂອງຊິບກໍານົດວ່າຈຸດອ່ອນບໍ່ສາມາດ "ປິ່ນປົວ" ໄດ້.。
ເອົາຊິບ DSP ເປັນຕົວຢ່າງ,ຊິບ DSP ແມ່ນຄ້າຍຄື "ກ່ອງສີດໍາ" ຂອງໂທລະສັບມືຖື,ຍົກເວັ້ນຜູ້ຜະລິດຊິບ,ຍາກສໍາລັບຄົນອື່ນທີ່ຈະກວດພົບວ່າມັນເຮັດວຽກແນວໃດ,ມັນເປັນການຍາກສໍາລັບພະນັກງານຮັກສາຄວາມປອດໄພທີ່ຈະທົດສອບເຂົາເຈົ້າ。ດັ່ງນັ້ນ,ມີແນວໂນ້ມທີ່ຈະເປັນຜູ້ໃຫຍ່ຫຼາຍ、ຄວາມສ່ຽງດ້ານຄວາມປອດໄພທີ່ບໍ່ຮູ້ຈັກ。
ໃນເວລາດຽວກັນ,ຊິບ DSP ມີຄຸນສົມບັດນະວັດຕະກໍາຫຼາຍຢ່າງຂອງໂທລະສັບມືຖືທີ່ທັນສະໄຫມ,ລວມທັງການສາກໄວໂທລະສັບມືຖື、ຟັງຊັນມັນຕິມີເດຍ,ງ່າຍຫຼາຍທີ່ຈະຖືກເປົ້າຫມາຍໂດຍແຮກເກີ。ກ້າວກັບຄືນ,ເຖິງແມ່ນວ່າຜູ້ໃຊ້ຍົກລະດັບໂທລະສັບ,ການແກ້ໄຂບັນຫາບໍ່ໄດ້ແກ້ໄຂບັນຫາໄດ້。
2021 ຊ່ອງໂຫວ່ຂອງຊິບ Qualcomm ປາກົດຢູ່ໃນຊິບໂມເດັມ,ເມື່ອປຽບທຽບກັບ DSP,ຄວາມສັບສົນຂອງໂມເດັມໄປເກີນກວ່ານັ້ນ,ມັນມີລະຫັດຫຼາຍພັນເສັ້ນ,ມີເຫດຜົນທີ່ຈະເຊື່ອ,ລະຫັດເກົ່າຈາກສອງຫຼືສາມປີກ່ອນຫນ້ານີ້ຈະມີຢູ່ໃນຮູບແບບຊິບໃຫມ່ໃນປະຈຸບັນ,ແຮກເກີສາມາດໃຊ້ລະຫັດເກົ່າເປັນການບຸກທະລຸ,ການໂຈມຕີ、ລັກຂໍ້ມູນໂທລະສັບມືຖື。
ເນື່ອງຈາກການແກ້ໄຂຊ່ອງໂຫວ່ຂອງຊິບແມ່ນນັບມື້ນັບເປັນວຽກທີ່ເປັນໄປບໍ່ໄດ້,ເປັນຜູ້ໃຊ້,ບໍ່ວ່າຈະເປັນການປ່ຽນແປງຂອງລະບົບປະຕິບັດການໂທລະສັບມືຖືແລະຊິບຈາກສູນໂທລະສັບມືຖື Apple, ເຊິ່ງພັດທະນາໂດຍຕົວມັນເອງແລະມີລະບົບນິເວດທີ່ຂ້ອນຂ້າງປິດ.,ຫຼື,ລະວັງການດາວໂຫຼດ ແລະການຕິດຕັ້ງແອັບທັງໝົດຈາກແຫຼ່ງທີ່ບໍ່ຮູ້ຈັກ。ໃນລະດັບໃດຫນຶ່ງ,ຜູ້ຜະລິດໂທລະສັບ Android,ລວມທັງຜູ້ຜະລິດຊິບ、ຜູ້ຜະລິດໂທລະສັບມືຖື、ຜູ້ຜະລິດລະບົບປະຕິບັດການຄວນຖືຄວາມປອດໄພຂອງຂໍ້ມູນຜູ້ໃຊ້ເປັນບູລິມະສິດທໍາອິດ,ເຮັດວຽກຮ່ວມກັນເພື່ອຊອກຫາວິທີແກ້ໄຂຄວາມປອດໄພທີ່ສົມດຸນຜົນປະໂຫຍດຂອງທຸກຝ່າຍ。