[하루한줄] Qualcomm DSP Achilles

URL

Qualcomm DSP Achilles

Target

Qualcomm DSP chip

Explain

Checkpoint는 올해 Defcon에서 Achilles라는 연구 논문을 발표했습니다. Achilles는 Qualcomm DSP( Digital Signal Processor ) 칩에서 400개 이상의 취약점을 찾은 퍼징 기술 연구입니다. Qualcomm은 다양한 칩들을 생산하는 회사로, 스마트폰 시장의 40%가 Qualcomm의 칩을 사용하고 있기 때문에 Achilles에 주목해볼 필요가 있습니다.

DSP 칩들은 기본적으로 Black box로 관리되기 때문에, manufacturer가 아니라면 DSP 칩에 대한 정보가 제한적일 수밖에 없습니다. 이 칩을 사용해 스마트폰을 만드는 제조사도 예외는 아닙니다. Checkpoint는 black box 때문에 스마트폰 제조사들이 신속하게 이슈를 고치지 못하는 상황을 지적했습니다.

올해 5월 Zerodium이 ios exploit의 제보가 너무 많다는 이유로 구매 중지를 선언했습니다. Open source인 Android 보다 취약점 제보 건수가 많다는 것을 근거로 Closed source(black box)를 유지하던 ios의 보안성은 더 이상 효과 없다는 의견이 있습니다. ios 뿐만 아니라 모든 black box의 의미가 점점 희미해지고 있는 거 같습니다.

헤커들에겐 black box의 정보 폐쇄 효과는 점점 옅어지고, vendor 입장에선 이슈를 고치지 힘든 상황이 맞물려 Achilles 연구처럼 취약점이 뭉텅이로 나오는 일이 발생했다고 볼 수 있습니다.