カスペルスキーは、何百万ものデバイスを脅かすユニソックチップに批判的なギャップを見つけました

ジャカルタ-カスペルスキーICS CERTの専門家は、不正な長距離アクセスを可能にするUnisocのパッドチップ(SoC)システムの重大な脆弱性を明らかにしました。

コードCVE-2024-39432とCVE-2024-39431で識別されるこの脆弱性は、アジア、アフリカ、ラテンアメリカを含むさまざまな地域で、スマートフォン、タブレット、車両、通信システムなどのデバイスを脅かします。

調査によると、攻撃者はセキュリティメカニズムをバイパスし、デバイスのカーネルにアクセスし、許可なくコードを実行できます。

カスペルスキーは、この攻撃の背後にいた加害者は、メモリ保護ユニット(MPU)の保護を回避するために、ダイレクトメモリアクセス(DMA)周辺アクセスを活用したと述べた。

この方法は、カスペルスキーによって明らかにされたAPTオペレーショントライアングルキャンペーンとほぼ同じです。この攻撃技術が、はるかに複雑で高度な技術を持つ敵によって悪用される可能性がある場合。

「SoCセキュリティは複雑な問題であり、チップ設計の原則と製品アーキテクチャ全体に細心の注意を払う必要があります」と、カスペルスキーICS CERTの責任者であるEvgeny Gondcharov氏は述べています。

この脆弱性を関係者に報告した後、カスペルスキーは、この脆弱性に対するセキュリティパッチをすぐに開発したUnisocの迅速な対応を称賛しました。

世界的なサイバーセキュリティ企業によると、多くのチップメーカーは、知的財産を保護するために内部プロセッサがどのように機能するかについて機密性を優先しているからです。

「当社の調査は、潜在的なセキュリティリスクを特定して軽減するために、チップメーカー、最終製品開発者、サイバーセキュリティコミュニティ間のより協力的な関係を構築することの重要性を強調しています。