Qualcomms Snapdragon lider av över 400 säkerhetsbrister

Permalänk
Skrivet av Nivity:

Har ju kommit en hel del allvarliga brister i IOS också så mja.

Tillbaka till Nokia 3310.

NMT 450. Inga jävla digitala koder som kan förstöra något. Hur säkert som helst.
Förutom då att all kommunikation går analogt helt okrypterat så alla som har en radio scanner direkt kan avlyssna ens samtal, vilket många gjorde 80 och början av 90 talet tills runt 93. NMT 900 gick på höge frekvens och krävde en dyrare scanner.

iPhoneargumentet är självklart giltigt av flera anledningar som att det kan dröja länge innan alla får uppdateringar till deras telefoner. Sedan är det lite som med Intel cpuer, trots de har mängder med säkerhetsbrister behöver man kanske inte kassera alla Intel cpu baserade datorer direkt. Utan nästan alla kör på som inget hade hänt.

Varför jag har svårt med Apple är att det är svårt att stötta et företag som vill ha totalitär kontroll över precis allt, de ska bestämma vilken mjukvara som ska få köras på deras hårdvara och de släpper ej in konkurrenter att använda deras operativsystem.
Hade Google, Microsoft själva varit i exakt samma sits, vilket Microsoft med deras os och Nokia hade kunnat varit. Så hade det varit exakt samma sak.
Säga vad man vill om Windows, men det var tack vare det fanns en drös olika ibm-x86 kloner som gjorde det populärt. Tänk om windows hade varit så att endas program som sprids via Microsoft store hade varit möjlig utan jailbreak att installera, där Microsoft också tar betalt. Då hade folk mycket snabbare flytt till Linux.

Permalänk

Lite roligt att omni.se gick ut igår med att Samsung slutar tillverka sina egna kretsar, Tscm ska ta över tillverkningen men har inte läst något om det här.🤔
Edi:t Slarvfel, det skall vara Huawei och inte Samsung sorry men ibland blir det överbelastning där uppe i knoppen🤪

Slarvfel
Permalänk
Rekordmedlem

Intressant, det är väl Israeliska företag som brukar leverera spionprogram till de som betalar men nu har de kanske inte fått tillräckligt betalt av Trump så de vill hjälpa till att täppa till hålen de brukar utnyttja elerl så kanske de fått ett bättre erbjudande av Kina.

Visa signatur

R5 5600G, Asus ROG STRIX X470-F Gaming, WD SN850X 2TB, Seasonic Focus+ Gold 650W, Aerocool Graphite v3, Tittar på en Acer ET430Kbmiippx 43" 4K. Lyssnar på Behringer DCX2496, Truth B3031A, Truth B2092A. Har också oscilloskop, mätmikrofon och colorimeter.

Permalänk
Medlem
Skrivet av Pierre232:

Lite roligt att omni.se gick ut igår med att Samsung slutar tillverka sina egna kretsar, Tscm ska ta över tillverkningen men har inte läst något om det här.🤔

Hittar inte den artikeln på Omni. Kan du länka?

Permalänk
Skrivet av Chibariku:

Hittar inte den artikeln på Omni. Kan du länka?

Sorry menade Huawei, och det är inte TSMC som ska ta över tillverkningen, tydligen är det dom som för dom nu! Rätt ska vara rätt iaf! Men här är länken iaf. Har även tipsat sweclockers om detta. https://omni.se/huawei-tvingas-sluta-producera-egna-mobilchip...

Såg nu att Sweclockers hade skrivit en artikel om detta igår efter att jag hade mailat dom, då infon på Omni.se var knapphändig. Här är den länken,mvh
https://m.sweclockers.com/nyhet/30154-mate-40-blir-huaweis-si...

Permalänk
Medlem
Skrivet av GarfieldPower:

Undra vad alla som klagade på Exynos i Samsungs telefoner säger nu.

Varför klagar folk ens på Exynos, speciellt i just den senaste Samsungmobilen?

De flesta testerna visar att den är marginellt sämre.

Permalänk
Medlem
Skrivet av Pierre232:

Sorry menade Huawei, men här är länken iaf. Har även tipsat sweclockers om detta. https://omni.se/huawei-tvingas-sluta-producera-egna-mobilchip...
Mvh

Det behövs nog inte https://www.sweclockers.com/nyhet/30154-mate-40-blir-huaweis-...

Permalänk

Aha, där ser man det skrevs antagligen efter att jag skickat in tipset till sweclockers.? Mvh

Permalänk
Medlem
Skrivet av dagas:

Detta tillsammans med att Samsung nyligen ökade antal generationer av android de uppdaterar till från 2 till 3 gör en rätt glad att ha en Exynos för en gångs skull. Samsung som förut var dåliga med uppdateringar har blivit bättre och bättre. Nog bara Apple som slår dem nu då de är bättre än Google själva med nya policyn. De kommer med säkerhetsuppdateringar länge iaf på S och Note modeller och man väntar sällan mer än någon vecka på dem.

De är inte bättre än Google, möjligtvis lika bra som Google. Google ger 3 års säkerhet och Android uppgraderingar från o med att telefonen släpptes, gäller Pixel 2 och nyare, inklusive deras billigare Pixel 3a och 4a. Samsung uppdaterar "upp till 3 generationer" och gäller bara S serien, Note serien samt Z serien, alltså deras dyraste telefoner

Visa signatur

Stationär PC: Chassi: Phanteks Enthoo EVOLV ATX MB: MSI B550 Gaming Plus CPU: AMD Ryzen 7 5700X Kylning: Noctua NH-U12S GPU: MSI GeForce GTX 1060 Gaming X 6 GB RAM: Corsair Vengeance LPX Black 32GB 3600MHz NVMe: 2st Kingston A2000 SSD: Intel 520 180GB och Intel 530 240GB HDD: WD Green 1TB, Toshiba 640GB samt fler HDD PSU: Corsair RM750X. Mobila enheter Mina Androidenheter och Dell Latitude 5400. Citera om du vill ha ett garanterat svar från mig

Permalänk
Datavetare

Från länken i artikeln står bl.a.

"Using our research methodologies and state-of-the-art fuzz testing technologies,"

Mer konkret lär komma på torsdag denna vecka när Check point håller en presentation kring detta, men låter väldigt mycket som buggarna är programvarubuggar och inte HW-buggar.

Av allt att döma är detta första gången någon tittar på kodbasen som kör Snapdragons DSP från det här perspektivet, tyvärr är det då rätt väntat att man hittar rätt många problem. Sedan är frågan vad man menar med "400 säkerhetsbrister" givet att det, så här lång i alla fall, bara utmynnat i 6 st CVE:er.

Är inte alls osannolikt att man egentligen bara hittat 6 unika hål som man sedan har skapat över 400 olika fall som kan utnyttja. Förhoppningsvis är inte det fallet, för i det läget tycker jag säkerhetsforskarna skriker "VARG" lite väl i hopp om man skapa rubriker.

För att få lite perspektiv på det hela: man hittar runt 100-200 unika säkerhetsproblem i Windows-, Linux- och MacOS-kärnorna per år. I fallet Windows är i storleksordningen en per månad av dessa ett kritisk säkerhetshål som möjliggör att något får total kontroll över systemet utan att behöva några speciella rättigheter på systemet mer än att kunna köra kod.

Men vi vet ju alla att Microsofts kvalité suger... Faktum är att det är rätt normalt med runt 10-50 buggar per 1000 rader kod och Microsoft ligger klart under detta normalvärde på 5-10 buggar per 1000 rader kod. Gissar att rent generellt håller koden i OS långt högre kvalité än "normal" kod, dels då hål här är långt värre och dels p.g.a. föregående är det långt mer intressant att leta hål där.

Här är väl det "värsta" med det man har hittat i Snapdragon, i praktiken är allt som kör på dess DSP del av OS-kärnan så buggar där är värre! Poängen är bara: tror inte Qualcomm på något sätt har sämre kvalité än någon annan, de har bara blivit tillräckligt vanliga för att man likt Windows och Linux kärnorna ska börja mer kritiskt granska kod som är specifik till Snapdragon. Föga oväntat hittar man då saker.

Hittade något om att en typisk Android/iOS applikation tar 50k rader kod, de är i sin tur säker mer komplicerade än rätt mycket av det som utvecklas. Systemprogramvara tenderar ligga på en helt annan skala, Android självt är 12-15 miljoner rader, Chrome (som börjar snart är ett OS självt) är >6 miljoner rader och Googles back-end uppskattas till 2 miljarder rader kod.

Vet inte hur mycket kod som kan tänkas finnas i en DSP, men det lär röra sig om höga hundratusentals rader eller låga miljontals rader kod. Så även om man håller lysande kod-kvalité finns det ~10000 buggar. Långt ifrån alla är så klart säkerhetshål, men en del är så klart det.

Det har praktiskt bevisats att man faktiskt kan skriva nära nog bug-fri kod, sådan finns i de mest kritiska delarna av flygplan, tåg etc. Det är fullt möjligt att hantera det upp till kodbaser på i alla fall hundratusentals rader kod, NASA ska enligt länken jag postade ovan ha lyckats med det i deras rymdsonder. Problemet är att sådan kod är svindyr. Kod skriven mot "Design Assurance Level A" för flygplan förväntas kosta hundratals dollar per rad och NASA uppskattade kostnaden för deras kod till ~$1000 per rad.

Så i prispressade konsumentprodukter får man räkna med hyfsat med buggar. Man kan acceptera att de finns oavsett produkt, eller välja att hela tiden hoppa till saker där man ännu inte gjort någon djupare analys... Det man bör hålla koll på är hur en tillverkare agerar när hål faktiskt uppdagas, de som kör strutstaktik och försöker dribbla bort problem bör undvikas och de som löser problemen på ett professionellt sätt bör premieras. Får se hur Qualcomm hanterar detta!

Visa signatur

Care About Your Craft: Why spend your life developing software unless you care about doing it well? - The Pragmatic Programmer

Permalänk
Medlem

Det går bra nu...

Visa signatur

Nybörjare på Linux? Se hit! #15665841

Permalänk
Medlem

Nej så fruktansvärt! Någon kan få tillgång till min samtalsdata, bilder och position... förutom google/facebook/resten.

Visa signatur

Intel Core i5-3570K Processor || AMD Radeon HD 7970 || MSI Z77A-G45 (MS-7752)
3DMark06 30 781, SM2.0 Score - 11982 - HDR/SM3.0 Score 15632 - CPU Score 7631

Permalänk
Medlem
Skrivet av Nivity:

Har ju kommit en hel del allvarliga brister i IOS också så mja.

Tillbaka till Nokia 3310.

Kör hårt, jag föredrar mitt äppelskrutt. 😉

Permalänk
Medlem
Skrivet av MrMacho:

Nej så fruktansvärt! Någon kan få tillgång till min samtalsdata, bilder och position... förutom google/facebook/resten.

Vi som använder telefon i tjänsten är det inte bra, men för er som bara spelar och ringer lite kan jag förstå att ni struntar i det.

Permalänk
Medlem
Skrivet av Nivity:

Har ju kommit en hel del allvarliga brister i IOS också så mja.

Tillbaka till Nokia 3310.

Jag får gräva fram min gamla Nokia N82 eller Nokia 3210 😉😉

Visa signatur

Låda thermaltake view 91 M-kort ASUS X399 ROG Zenith Extreme CPU AMD Ryzen Threadripper 1920X 3.5 GHz Kylning Hemma byggd vattenkylning 2 x 480mm + 1 x 420mm radiatorer Minne 8 X 16Gb DDR4 HD SSD 240GB OCZ Trion 100 Grafik Gigabyte Geforce RTX 3080 10GB GAMING OC WATERFORCE WB AGG Corsair RM 1000w 80+ Gold Skärm ASUS 43" ROG Strix XG438QR 4K VA HDR 120 Hz

Permalänk
Medlem

@Dem8n: Absolut, jag bryr mig också. Försökte bara vara rolig samtidigt som jag påpekar att folk generellt inte verkar bry sig så mycket om vad som görs med deras information

Visa signatur

Intel Core i5-3570K Processor || AMD Radeon HD 7970 || MSI Z77A-G45 (MS-7752)
3DMark06 30 781, SM2.0 Score - 11982 - HDR/SM3.0 Score 15632 - CPU Score 7631