高通DSP晶片有重大安全漏洞,将允许骇客窃取装置资讯、执行服务阻断攻击,或植入恶意程式,波及全球超过40%的手机,包括Google、三星、LG、小米或OnePlus高阶机种 。
资深网络安全媒体Check Point近日揭露,高通(Qualcomm)的数位讯号处理器(Digital Signal Processor,DSP)含有重大的安全漏洞,将允许骇客窃取装置资讯、执行服务阻断攻击,或植入恶意程式,恐将波及逾40%的手机。Check Point准备在本周末举行的DEFCON虚拟安全会议上,公布研究细节。
DSP为一整合软体与硬体设计的系统单晶片,可用来支援装置上的多种功能,包括充电能力、多媒体经验,或是语音功能等,所有现代化手机都至少含有一个DSP,而高通所开发的Hexagon DSP则被应用在全球超过40%的手机上,包括由Google、三星、LG、小米或OnePlus打造的高阶手机。
Check Point安全研究人员Slava Makkaveev表示,他们在Hexagon SDK上发现有许多严重的漏洞,使得不管是高通本身的Hexagon DSP或是嵌入客户自制程式的DSP出现了逾400个潜在的安全漏洞,基本上, Hexagon SDK的漏洞几乎让所有高通的DSP函式库都存在着安全风险。
位于Hexagon SDK上的安全漏洞包括CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208 与CVE-2020-11209,它们造成DSP晶片上,出现了超过400种易受攻击的程式码。
Check Point表示,相关的漏洞与脆弱性将允许骇客在不需使用者的互动下,把手机变成完美的间谍装置,可自手机汲取照片、影片、通话纪录、即时麦克风资料、GPS或位置资讯;而且骇客还可执行服务阻断攻击,让手机失去能力,而永远无法再存取装置上的资料;或是直接在手机上嵌入无法移除的恶意程式。
Makkaveev则准备在DEFCON会议上展示,如何利用一个Android程式来绕过高通的签章,并于DSP上执行程式码,以及可能因此而衍生的其它安全问题。
Check Point已将漏洞与技术细节,转交给高通及相关的制造商,Bleeping Computer则取得了高通的回应。高通表示,他们正努力确认此一问题并提供适当的缓解措施予制造商,目前并无证据显示相关漏洞已遭到开采,但用户也应在更新程式出炉后尽速部署,且只自可靠的程式市集上下载行动程式。
【来源:炫星娱乐家】
声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 邮箱地址:[email protected]