ThreadX asosidagi dasturiy ta’minot zaifliklari noutbuklar, smartfonlar va o’yin konsollarini xavf ostiga qo’ydi
Zaif qurilmalar ro’yxatiga PS4, Xbox One, Samsung Chromebook va Microsoft Surface kiradi.
Embedi tadqiqotchilari simsiz aloqa chiplari kabi turli ixtisoslashgan bitta chipli tizimlar uchun dasturiy ta’minotni quvvatlaydigan ThreadX RTOS platformasidagi bir qator zaifliklarni aniqladilar. Mutaxassislar Sony PlayStation 4 va Xbox One o’yin konsollari, Microsoft Surface planshetlari, Samsung Chromebooklari, Samsung Galaxy J1 smartfonlari, Valve SteamLink dasturi va boshqalar kabi Bluetooth va Wi-Fi uchun turli xil qurilmalarda ishlatiladigan Marvell Avastar 88W8897 simsiz chipidan foydalanib, tajovuzkor foydalanuvchi aralashuvisiz kodni qanday bajarishi mumkinligini namoyish etdilar. Tadqiqotchilar dasturiy ta’minotning turli qismlarida to’rtta xotira buzilishi muammosini aniqladilar, ulardan biri mavjud Wi-Fi tarmoqlarini skanerlash paytida foydalanuvchi aralashuvisiz ishlatilishi mumkin. Mutaxassislarning tushuntirishicha, skanerlash har besh daqiqada avtomatik ravishda ishlaydi, bu esa foydalanishni juda osonlashtiradi. Qurilmani boshqarish uchun tajovuzkor shunchaki Marvell Avastar Wi-Fi chipiga ega qurilmaga maxsus tayyorlangan Wi-Fi paketini yuborishi va skanerlash funksiyasi ishga tushishini kutishi kerak bo’ladi.
Mutaxassislar ushbu zaiflikdan foydalanishning ikkita usulini aniqladilar. Birinchi ekspluatatsiya texnikasi Marvellning ThreadX dasturiy ta’minotini joriy etishiga xos bo’lsa, ikkinchisi ushbu platformadagi har qanday dasturiy ta’minotga hujum qilish uchun moslashtirilishi mumkin. Ishlab chiqaruvchining veb-saytiga ko’ra, ThreadX asosidagi dasturiy ta’minot 6 milliarddan ortiq turli xil sanoat va iste’molchi qurilmalarida qo’llaniladi.
Muvaffaqiyatli hujumga misol quyidagi videoda ko’rsatilgan. Zaifliklar haqidagi texnik tafsilotlarni tadqiqotchilarning blogida topish mumkin.
