Tencent desvela la existencia de un fallo de seguridad crítico en los Snapdragon 835 y 845 en Noticias

Alejo I 07 ago 2019 10:29 *

Ordo malleus

Staff

28.698 mensajes
desde sep 2000

Editado 1 vez. Última: 7/08/2019 - 10:30:16 por .

La división de seguridad informática de Tencent ha dado a conocer durante las conferencias DEFCON 27 y Black Hat 2019 varias vulnerabilidades graves en chips fabricados por Qualcomm. Su conjunto y el exploit que permite sacarle partido han sido bautizados como QualPwn, y según Tencent Blade Team hace posible que un atacante acceda a un teléfono móvil desprotegido vía WLAN, sorteando Secure Boot y proporcionando acceso al módem para cargar herramientas de debugging.

De acuerdo con la descripción oficial, QualPwn permite acceder al kernel de Android y/o realizar una escalada de privilegios para extraer información personal del usuario. El fallo afecta como mínimo a los teléfonos con un procesador Snapdragon 835 y 845. Decimos "como mínimo" porque Tencent Blade Team solo ha probado su exploit en los Pixel 2 y Pixel 3, así que no hay forma de saber si otros chipsets o smartphones están en situación de riesgo.

Los investigadores de Tencent Blade Team se pusieron en contacto con Qualcomm en marzo de 2019 para notificar el agujero. El fabricante estadounidense estableció a continuación un canal de colaboración con sus socios y proporcionó código parcheado en junio para su implementación. La actualización general se ha introducido en el boletín de seguridad de Android del mes de agosto, por lo que próximamente comenzará a llegar a numerosos teléfonos, si no lo está haciendo ya.

El funcionamiento concreto del exploit y los detalles más granulares de la vulnerabilidad atacada aún no son públicos (solo sabemos que la cadena es OTA -> WLAN -> Kernel), pero Google ha clasificado el fallo como de importancia crítica. Afortunadamente, Tencent Blade Team afirma que no tiene constancia de que exista código público para explotar el agujero. Algo que podría cambiar próximamente ahora que se tiene constancia de que dichos chipsets poseen vulnerabilidades importantes en sus módems.

Fuente: AndroidCentral

SUGUSAPPLE 07 ago 2019 10:42

.ARJ

7.946 mensajes
desde ago 2007
en MONKEY ISLAND

Gamertag: Windows95 molaba PSN ID: Betamax puta Sony.Steam ID: En construcción.

Y por eso Apple a comprado modems Intel.

Pd: vaya chapuzas a precios prohibitivos.

davoker 07 ago 2019 10:43

(╯‵□′)╯︵┻━┻

22.492 mensajes
desde oct 2006
en Gijon (Asturias)

Página web de davoker Steam ID: Davoker

Ahora le toca los chips moviles [qmparto]

esto es un cachondeo ya, que estamos usando en nuestras vidas :-|

@SUGUSAPPLE Tranquilo compi, le llegará su turno a Apple, y va ser mas escandoloso todavia, un presentimiento (mas escandaloso por ser la marca mas cara, que por un PC de los suyos te montas una bestia con windows xD)

agron 07 ago 2019 10:54

oOoOoOoOoOo

2.123 mensajes
desde may 2008
en Raid0

Página web de agron Steam ID: agron2k13

La puerta de entrada es vía OTA? Entonces hay que engañar al teléfono para que se conecte a un servidor que no sea el oficial para descargar una actualización con el código malicioso... :-|

Es jodido, pero no es el fin del mundo tampoco. Con no conectarse a redes wifi que no sean de confianza, se puede esperar a que lleguen las updates. Por una vez me alegro de que en Europa, Samsung, solo traiga Exynos [+risas]

Iverson88 07 ago 2019 10:55 *

MegaAdicto!!!

7.321 mensajes
y 10 fotos
desde sep 2006

PSN ID: Iverson_DH Steam ID: iverson666

Editado 1 vez. Última: 7/08/2019 - 10:58:03 por Iverson88.

En todas las noticias de Android salen comentarios de Apple.....algunos pareceis que estais malitos

Respecto a la noticia... ojo! que solo han probado con un par de terminales.... a saber la magnitud real de la vulnerabilidad.

k0br4 07 ago 2019 11:17

Portador Minoritario

3.425 mensajes
desde ene 2007
en Málaga

Iverson88 escribió:En todas las noticias de Android salen comentarios de Apple.....algunos pareceis que estais malitos

Respecto a la noticia... ojo! que solo han probado con un par de terminales.... a saber la magnitud real de la vulnerabilidad.

Dos terminales de "desarrollador" con dos chipset del mismo fabricante de distintas generaciones, por lo que parece que, al menos, todos los terminales, del fabricante que sea, que monten esos SoC estarán afectados (Casi todo los gamas alta... dado que era el SoC favorito), dado que es un fallo de seguridad "a nivel hardware" que se está parcheando. Y ya sabemos que eso de las actualizaciones más allá de los pixeles o Android One...

exitido 07 ago 2019 11:29

10.306 mensajes
desde mar 2003
en tu ojete

Hoy no duermo

#378218# 07 ago 2019 11:32

Algo bueno tenía que tener ser poseedor de un Huawei xd

dark argus 07 ago 2019 11:45 *

MegaAdicto!!!

2.043 mensajes
desde ene 2008

Editado 1 vez. Última: 7/08/2019 - 11:45:39 por dark argus.

Lo más ridículo es el ser humano siempre buscado formas de hacer el mal, que coño importaría un agujero si todos nos dedicaramos a intentar hacer el bien.
En fin, excrementos humanos por todos lados.

Un saludo

mmiiqquueell 07 ago 2019 12:05 *

6.747 mensajes
desde jul 2006

Editado 2 veces. Última: 7/08/2019 - 12:05:49 por mmiiqquueell.

El fallo afecta como mínimo a los teléfonos con un procesador Snapdragon 835 y 845. Decimos "como mínimo" porque Tencent Blade Team solo ha probado su exploit en los Pixel 2 y Pixel 3, así que no hay forma de saber si otros chipsets o smartphones están en situación de riesgo.

En otros lares lo ponen como que afecta a todos los chips de Qualcomm, tocara esperar a ver si aclaran mejor.

@dark argus El MAL se hace o bien porque esa persona ha tenido malas experiencias de pequeño y ahora se comporta de malas o bien por dinero y normalmente lo de malas experiencias suele ser cosa de películas. Y es que hasta las empresas lo dejan a esa forma "Si alguien encuentra X fallo ganara tantos dólares", no, si alguien lo encuentra que lo notifique y punto. Mira, la semana pasada encontré un fallo de seguridad donde trabajo y lo notifique inmediatamente y ya el departamento de sistemas se encargara de arreglarlo.

Er_Garry 07 ago 2019 12:30

In VR

8.130 mensajes
desde dic 2004
en Vigo

Si afecta a todos los SoC Qualcomm, o los fabricantes se ponen las pilas con los parches, o si no va a ser un cristo cuando se llegue a divulgar el exploit.

Ahora esperemos que no haya SoC de otros fabricantes afectados, ya sean los Exynos o los Kirin. Que si lo están, sería la mayor puerta de seguridad de los smartphone que se haya conocido.

Salu2

mamideck 07 ago 2019 13:06

MegaAdicto!!!

2.519 mensajes
desde ago 2010

Curioso que sea precisamente Tencent, una compañía China especializada en servicios de internet en China y para chinos (y otros claro). Esto ya roza el ridículo de lo evidente que esta siendo la guerra tecnológica del siglo XXI

DJ Deu 07 ago 2019 13:59

Comandante del Clit

5.852 mensajes
desde oct 2001
en Zombieland

Steam ID: MRDeu

Si un traficante de datos denuncia un exploit es porque ese exploit está más que utilizado y vendido en mercados de la deep web.

Obviamente, ellos hacían uso de el antes de su "popularidad".

#1302# 07 ago 2019 14:34

Alejo I escribió:La actualización general se ha introducido en el boletín de seguridad de Android del mes de agosto, por lo que próximamente comenzará a llegar a numerosos teléfonos, si no lo está haciendo ya.

Al 5 - 10% y tirando por lo alto, el resto se quedan como están. :-|

samorost 07 ago 2019 14:35

MegaAdicto!!!

1.101 mensajes
desde dic 2018

Nada es seguro cuando hablamos de móviles o ordenadores y tablets.

Chevi 07 ago 2019 14:58

Dosisssss

6.870 mensajes
desde mar 2002
en Madrid

Gamertag: chevi360 Steam ID: chevi

Tienen que hacer algo para evitar la ultrafragmentación de versiones en Android e intentar (o sea hacer obligatorio por ley) que los dispositivos reciban actualizaciones aunque solo sean de seguridad durante un periodo respetable (3-4 años?). Porque a día de hoy es un cachondeo y un problemón de seguridad.

ZeTaKa 07 ago 2019 15:09

zK:~ zk$

1.842 mensajes
desde ene 2005
en /Users/zk

Chevi escribió:Tienen que hacer algo para evitar la ultrafragmentación de versiones en Android e intentar (o sea hacer obligatorio por ley) que los dispositivos reciban actualizaciones aunque solo sean de seguridad durante un periodo respetable (3-4 años?). Porque a día de hoy es un cachondeo y un problemón de seguridad.

Que los clientes elijan solo terminales que actualicen 4 años. Fíjate que fácil.

erderbi 07 ago 2019 15:32

♥Kyoto Animation ♥

2.377 mensajes
desde ago 2016
en Malaga

Página web de erderbi Twitter de erderbi PSN ID: er_coje_aceituna Steam ID: er_coje_aceituna

ZeTaKa escribió:
Chevi escribió:Tienen que hacer algo para evitar la ultrafragmentación de versiones en Android e intentar (o sea hacer obligatorio por ley) que los dispositivos reciban actualizaciones aunque solo sean de seguridad durante un periodo respetable (3-4 años?). Porque a día de hoy es un cachondeo y un problemón de seguridad.

Que los clientes elijan solo terminales que actualicen 4 años. Fíjate que fácil.

Pues ya me diras cuantos hay que actualizen 4 años en android.

Chevi 07 ago 2019 16:36

Dosisssss

6.870 mensajes
desde mar 2002
en Madrid

Gamertag: chevi360 Steam ID: chevi

ZeTaKa escribió:
Chevi escribió:Tienen que hacer algo para evitar la ultrafragmentación de versiones en Android e intentar (o sea hacer obligatorio por ley) que los dispositivos reciban actualizaciones aunque solo sean de seguridad durante un periodo respetable (3-4 años?). Porque a día de hoy es un cachondeo y un problemón de seguridad.

Que los clientes elijan solo terminales que actualicen 4 años. Fíjate que fácil.

Los clientes ni saben hacer esa elección ni saben que están en peligro, pero luego las consecuencias las sufren. Por eso debe venir solucionado de arriba y deben tomar cartas en el asunto las empresas.

Cory 07 ago 2019 17:02

Haciendo Dogecoin

4.376 mensajes
desde abr 2006
en México D.F.

Gamertag: Megacubo PSN ID: Megacubo5 Steam ID: Megacubo

Justo el SOC que lleva mi querido Mi 8, espero sea fácilmente parchado

Sangreyfuego 07 ago 2019 19:50

MegaAdicto!!!

2.083 mensajes
desde abr 2017
en Bilbo

Steam ID: Sangreyfuego

Y yo que me he comprado un pocophone con SD 845 este año, pues nada a comprarme uno con SD 855+... pero uno baratito, entre 800-900€

PD: Hoy no duermo

MaXiMu 07 ago 2019 21:49

MegaAdicto!!!

3.419 mensajes
desde nov 2006
en Retro-emu

Página web de MaXiMu

Estas cosas estarian a salvo con mayor facilidad si ofrecieran soporte mainline del kernel y así no habría que crear una rom por cada soc diferente .

lilloo 08 ago 2019 00:56

MegaAdicto!!!

1.304 mensajes
desde sep 2009
en Emerita Augusta

Gamertag: lillokenpachi PSN ID: lillokenpachi Steam ID: lillooo

Pronto mi lavadora tendra un fallo de seguridad

enekomh 08 ago 2019 10:14

私はエネコです

6.518 mensajes
desde may 2006

Página web de enekomh Facebook de enekomh Twitter de enekomh Gamertag: enekomh PSN ID: enekomh_pies3 Steam ID: enekomh

lilloo escribió:Pronto mi lavadora tendra un fallo de seguridad

Te ríes, pero con esta moda chorra del todo conectado y el internet de las cosas, que no te sorprenda que en 5 años haya problemas de seguridad similares

sonyfallon 08 ago 2019 18:58

MegaAdicto!!!

51.621 mensajes
desde jun 2007
en España

Gamertag: SasukeSupremo PSN ID: serjine Steam ID: serjine

Aquí todos tienen fallos, la cosa es comprar el que menos fallos tenga

raziel-77 11 ago 2019 13:30

Adicto

172 mensajes
desde jun 2011

@SUGUSAPPLE

Cierto los Intel son invulnerables y sin posibles exploid

. Anda echa un vistazo al pasado la de agujeros que se han encontrado en los ultimos años en Intel, AMD, Qualcomm, Exynos, Helix... tanto x64/x86 como AMRv8/v7

SUGUSAPPLE 11 ago 2019 14:40

.ARJ

7.946 mensajes
desde ago 2007
en MONKEY ISLAND

Gamertag: Windows95 molaba PSN ID: Betamax puta Sony.Steam ID: En construcción.

raziel-77 escribió:@SUGUSAPPLE

Cierto los Intel son invulnerables y sin posibles exploid . Anda echa un vistazo al pasado la de agujeros que se han encontrado en los ultimos años en Intel, AMD, Qualcomm, Exynos, Helix... tanto x64/x86 como AMRv8/v7

No lo decía como halago si no como crítica tanto a Intel como apple [+risas]

ZeTaKa 12 ago 2019 11:01 *

zK:~ zk$

1.842 mensajes
desde ene 2005
en /Users/zk

Editado 1 vez. Última: 12/08/2019 - 11:04:17 por ZeTaKa.

Chevi escribió:
ZeTaKa escribió:
Chevi escribió:Tienen que hacer algo para evitar la ultrafragmentación de versiones en Android e intentar (o sea hacer obligatorio por ley) que los dispositivos reciban actualizaciones aunque solo sean de seguridad durante un periodo respetable (3-4 años?). Porque a día de hoy es un cachondeo y un problemón de seguridad.

Que los clientes elijan solo terminales que actualicen 4 años. Fíjate que fácil.

Los clientes ni saben hacer esa elección ni saben que están en peligro, pero luego las consecuencias las sufren. Por eso debe venir solucionado de arriba y deben tomar cartas en el asunto las empresas.

Gua gua, que venga papá estado y se ocupe de defenderme de los malvados... gua gua....

¿Sabes que? Esos fallos están puestos para el estado. Cuando los detectan, surgen otros nuevos.

Oneplus tiene Android 9 en Oneplus one. Con la friolera de 5 añitos.

Chevi 12 ago 2019 13:15

Dosisssss

6.870 mensajes
desde mar 2002
en Madrid

Gamertag: chevi360 Steam ID: chevi

@ZeTaKa algunas puertas traseras serán estatales, pero otras son bugs de software que se aprovechan mediante exploits y los usan mafias y delincuentes.
Menos chorradas de gua gua papá estado y más obligar a que las plataformas software usadas por cientos de millones de personas sean seguras y estén actualizadas, porque nos afectan a todos. Obviamente los backdoors gubernamentales nunca los quitarán pero si evitamos por ejemplo que haya millones de dispositivos en android 4/5/6...o Windows XP/7/8 por ejemplo, todo será bastante más seguro.

ZeTaKa 12 ago 2019 16:27

zK:~ zk$

1.842 mensajes
desde ene 2005
en /Users/zk

Chevi escribió:@ZeTaKa algunas puertas traseras serán estatales, pero otras son bugs de software que se aprovechan mediante exploits y los usan mafias y delincuentes.
Menos chorradas de gua gua papá estado y más obligar a que las plataformas software usadas por cientos de millones de personas sean seguras y estén actualizadas, porque nos afectan a todos. Obviamente los backdoors gubernamentales nunca los quitarán pero si evitamos por ejemplo que haya millones de dispositivos en android 4/5/6...o Windows XP/7/8 por ejemplo, todo será bastante más seguro.

Es educación. En vez de enseñar como funcuiona un ordenador en la ESO, enseña seguridad, enseña la importancia de la privacidad...

sacre 12 ago 2019 21:01

MegaAdicto!!!

1.510 mensajes
desde sep 2010
en La costera (Valencia)

Steam ID: pacotp

Voy envolviendo en papel de plata en mi mix2s

Chevi 12 ago 2019 22:06

Dosisssss

6.870 mensajes
desde mar 2002
en Madrid

Gamertag: chevi360 Steam ID: chevi

@ZeTaKa si estoy de acuerdo contigo en cierto contexto, probablemente ni a ti ni a mí nos afecte, pero a nuestros padres/abuelos que tienen 50-60-70 años y usan el móvil por ejemplo para entrar a la banca móvil, les pueden joder vivos y entonces nos acaba afectando. Es para esa gente para la que hay que legislar y a la que hay que proteger.
En cuanto a la chavalada, pues completamente de acuerdo que podrían ponerles en la ESO un trimestre de "vida digital" y enseñarles seguridad y privacidad que les evitará disgustos en el futuro a más de uno.

ZeTaKa 13 ago 2019 19:40

zK:~ zk$

1.842 mensajes
desde ene 2005
en /Users/zk

Chevi escribió:@ZeTaKa si estoy de acuerdo contigo en cierto contexto, probablemente ni a ti ni a mí nos afecte, pero a nuestros padres/abuelos que tienen 50-60-70 años y usan el móvil por ejemplo para entrar a la banca móvil, les pueden joder vivos y entonces nos acaba afectando. Es para esa gente para la que hay que legislar y a la que hay que proteger.
En cuanto a la chavalada, pues completamente de acuerdo que podrían ponerles en la ESO un trimestre de "vida digital" y enseñarles seguridad y privacidad que les evitará disgustos en el futuro a más de uno.

Para eso, se protege el banco. Son los bancos los que deben hacerse cargo de su error de dejarte instalar su aplicación móvil y operar, sin tener el sistema completamente actualizado.
Entonces, es el gobierno el que debe obligar a que si el banco te deja operar con un Android 4 o un Windows 98, debe hacerse cargo de las cantidades robadas.