Qualcomms Snapdragon lider av över 400 säkerhetsbrister

Skrivet av Nivity:

Har ju kommit en hel del allvarliga brister i IOS också så mja.

Tillbaka till Nokia 3310.

NMT 450. Inga jävla digitala koder som kan förstöra något. Hur säkert som helst.
Förutom då att all kommunikation går analogt helt okrypterat så alla som har en radio scanner direkt kan avlyssna ens samtal, vilket många gjorde 80 och början av 90 talet tills runt 93. NMT 900 gick på höge frekvens och krävde en dyrare scanner.

iPhoneargumentet är självklart giltigt av flera anledningar som att det kan dröja länge innan alla får uppdateringar till deras telefoner. Sedan är det lite som med Intel cpuer, trots de har mängder med säkerhetsbrister behöver man kanske inte kassera alla Intel cpu baserade datorer direkt. Utan nästan alla kör på som inget hade hänt.

Varför jag har svårt med Apple är att det är svårt att stötta et företag som vill ha totalitär kontroll över precis allt, de ska bestämma vilken mjukvara som ska få köras på deras hårdvara och de släpper ej in konkurrenter att använda deras operativsystem.
Hade Google, Microsoft själva varit i exakt samma sits, vilket Microsoft med deras os och Nokia hade kunnat varit. Så hade det varit exakt samma sak.
Säga vad man vill om Windows, men det var tack vare det fanns en drös olika ibm-x86 kloner som gjorde det populärt. Tänk om windows hade varit så att endas program som sprids via Microsoft store hade varit möjlig utan jailbreak att installera, där Microsoft också tar betalt. Då hade folk mycket snabbare flytt till Linux.

Senast redigerat 2020-08-10 06:00

Lite roligt att omni.se gick ut igår med att Samsung slutar tillverka sina egna kretsar, Tscm ska ta över tillverkningen men har inte läst något om det här.🤔
Edi:t Slarvfel, det skall vara Huawei och inte Samsung sorry men ibland blir det överbelastning där uppe i knoppen🤪

Senast redigerat 2020-08-10 09:54: Slarvfel

Intressant, det är väl Israeliska företag som brukar leverera spionprogram till de som betalar men nu har de kanske inte fått tillräckligt betalt av Trump så de vill hjälpa till att täppa till hålen de brukar utnyttja elerl så kanske de fått ett bättre erbjudande av Kina.

Skrivet av Pierre232:

Lite roligt att omni.se gick ut igår med att Samsung slutar tillverka sina egna kretsar, Tscm ska ta över tillverkningen men har inte läst något om det här.🤔

Hittar inte den artikeln på Omni. Kan du länka?

Skrivet av Chibariku:

Hittar inte den artikeln på Omni. Kan du länka?

Sorry menade Huawei, och det är inte TSMC som ska ta över tillverkningen, tydligen är det dom som för dom nu! Rätt ska vara rätt iaf! Men här är länken iaf. Har även tipsat sweclockers om detta. https://omni.se/huawei-tvingas-sluta-producera-egna-mobilchip...

Såg nu att Sweclockers hade skrivit en artikel om detta igår efter att jag hade mailat dom, då infon på Omni.se var knapphändig. Här är den länken,mvh
https://m.sweclockers.com/nyhet/30154-mate-40-blir-huaweis-si...

Senast redigerat 2020-08-10 10:24
Skrivet av GarfieldPower:

Undra vad alla som klagade på Exynos i Samsungs telefoner säger nu.

Varför klagar folk ens på Exynos, speciellt i just den senaste Samsungmobilen?

De flesta testerna visar att den är marginellt sämre.

Skrivet av Pierre232:

Sorry menade Huawei, men här är länken iaf. Har även tipsat sweclockers om detta. https://omni.se/huawei-tvingas-sluta-producera-egna-mobilchip...
Mvh

Det behövs nog inte https://www.sweclockers.com/nyhet/30154-mate-40-blir-huaweis-...

Aha, där ser man det skrevs antagligen efter att jag skickat in tipset till sweclockers.? Mvh

Skrivet av dagas:

Detta tillsammans med att Samsung nyligen ökade antal generationer av android de uppdaterar till från 2 till 3 gör en rätt glad att ha en Exynos för en gångs skull. Samsung som förut var dåliga med uppdateringar har blivit bättre och bättre. Nog bara Apple som slår dem nu då de är bättre än Google själva med nya policyn. De kommer med säkerhetsuppdateringar länge iaf på S och Note modeller och man väntar sällan mer än någon vecka på dem.

De är inte bättre än Google, möjligtvis lika bra som Google. Google ger 3 års säkerhet och Android uppgraderingar från o med att telefonen släpptes, gäller Pixel 2 och nyare, inklusive deras billigare Pixel 3a och 4a. Samsung uppdaterar "upp till 3 generationer" och gäller bara S serien, Note serien samt Z serien, alltså deras dyraste telefoner

Från länken i artikeln står bl.a.

"Using our research methodologies and state-of-the-art fuzz testing technologies,"

Mer konkret lär komma på torsdag denna vecka när Check point håller en presentation kring detta, men låter väldigt mycket som buggarna är programvarubuggar och inte HW-buggar.

Av allt att döma är detta första gången någon tittar på kodbasen som kör Snapdragons DSP från det här perspektivet, tyvärr är det då rätt väntat att man hittar rätt många problem. Sedan är frågan vad man menar med "400 säkerhetsbrister" givet att det, så här lång i alla fall, bara utmynnat i 6 st CVE:er.

Är inte alls osannolikt att man egentligen bara hittat 6 unika hål som man sedan har skapat över 400 olika fall som kan utnyttja. Förhoppningsvis är inte det fallet, för i det läget tycker jag säkerhetsforskarna skriker "VARG" lite väl i hopp om man skapa rubriker.

För att få lite perspektiv på det hela: man hittar runt 100-200 unika säkerhetsproblem i Windows-, Linux- och MacOS-kärnorna per år. I fallet Windows är i storleksordningen en per månad av dessa ett kritisk säkerhetshål som möjliggör att något får total kontroll över systemet utan att behöva några speciella rättigheter på systemet mer än att kunna köra kod.

Men vi vet ju alla att Microsofts kvalité suger... Faktum är att det är rätt normalt med runt 10-50 buggar per 1000 rader kod och Microsoft ligger klart under detta normalvärde på 5-10 buggar per 1000 rader kod. Gissar att rent generellt håller koden i OS långt högre kvalité än "normal" kod, dels då hål här är långt värre och dels p.g.a. föregående är det långt mer intressant att leta hål där.

Här är väl det "värsta" med det man har hittat i Snapdragon, i praktiken är allt som kör på dess DSP del av OS-kärnan så buggar där är värre! Poängen är bara: tror inte Qualcomm på något sätt har sämre kvalité än någon annan, de har bara blivit tillräckligt vanliga för att man likt Windows och Linux kärnorna ska börja mer kritiskt granska kod som är specifik till Snapdragon. Föga oväntat hittar man då saker.

Hittade något om att en typisk Android/iOS applikation tar 50k rader kod, de är i sin tur säker mer komplicerade än rätt mycket av det som utvecklas. Systemprogramvara tenderar ligga på en helt annan skala, Android självt är 12-15 miljoner rader, Chrome (som börjar snart är ett OS självt) är >6 miljoner rader och Googles back-end uppskattas till 2 miljarder rader kod.

Vet inte hur mycket kod som kan tänkas finnas i en DSP, men det lär röra sig om höga hundratusentals rader eller låga miljontals rader kod. Så även om man håller lysande kod-kvalité finns det ~10000 buggar. Långt ifrån alla är så klart säkerhetshål, men en del är så klart det.

Det har praktiskt bevisats att man faktiskt kan skriva nära nog bug-fri kod, sådan finns i de mest kritiska delarna av flygplan, tåg etc. Det är fullt möjligt att hantera det upp till kodbaser på i alla fall hundratusentals rader kod, NASA ska enligt länken jag postade ovan ha lyckats med det i deras rymdsonder. Problemet är att sådan kod är svindyr. Kod skriven mot "Design Assurance Level A" för flygplan förväntas kosta hundratals dollar per rad och NASA uppskattade kostnaden för deras kod till ~$1000 per rad.

Så i prispressade konsumentprodukter får man räkna med hyfsat med buggar. Man kan acceptera att de finns oavsett produkt, eller välja att hela tiden hoppa till saker där man ännu inte gjort någon djupare analys... Det man bör hålla koll på är hur en tillverkare agerar när hål faktiskt uppdagas, de som kör strutstaktik och försöker dribbla bort problem bör undvikas och de som löser problemen på ett professionellt sätt bör premieras. Får se hur Qualcomm hanterar detta!

Det går bra nu...

Nej så fruktansvärt! Någon kan få tillgång till min samtalsdata, bilder och position... förutom google/facebook/resten.

Skrivet av Nivity:

Har ju kommit en hel del allvarliga brister i IOS också så mja.

Tillbaka till Nokia 3310.

Kör hårt, jag föredrar mitt äppelskrutt. 😉

Skrivet av MrMacho:

Nej så fruktansvärt! Någon kan få tillgång till min samtalsdata, bilder och position... förutom google/facebook/resten.

Vi som använder telefon i tjänsten är det inte bra, men för er som bara spelar och ringer lite kan jag förstå att ni struntar i det.

Skrivet av Nivity:

Har ju kommit en hel del allvarliga brister i IOS också så mja.

Tillbaka till Nokia 3310.

Jag får gräva fram min gamla Nokia N82 eller Nokia 3210 😉😉

@Dem8n: Absolut, jag bryr mig också. Försökte bara vara rolig samtidigt som jag påpekar att folk generellt inte verkar bry sig så mycket om vad som görs med deras information