網絡安全研究人員發現,高通旗下的驍龍芯片中有6個嚴重的潛在漏洞,使不少安卓裝置都暴露在危險當中。這些漏洞的代號分別為CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208以及CVE-2020-11209。它們都屬於DoS或者權限提升攻擊,攻擊者一旦得手就可以對目標裝置擁有全面控制。
仔細的來説,這些漏洞都是藏於驍龍芯片中的Hexagon數字信號處理器裏(下稱DSP)。DSP是負責控制安卓用户以及驍龍處理器固件之間的實時請求的重要部件,例如將語音、視頻以及諸如GPS定位等的服務轉化為可以用於計算的數據。
發現這些漏洞的網絡安全機構Check Point在其博客表示,DSP中的缺憾可以被不法分子用來收集用户的相片、視頻、逍話錄音、實時麥完風數據以及GPS定位、破壞目標裝置或者在裝置毫不知情的情況下植入惡意軟件。攻擊者只需要誘使用户下載並且運行一個惡意的可執行文件就可以利用這些漏洞。
攻擊者得手後,可以在目標裝置上創造永久的DoS狀態,直至裝置被回覆出廠設置;也可以引起DSP內核崩潰來重啓手機。Check Point表示,由於手機的防毒軟件是不會掃瞄Hexagon的指令集的,因此不法分子可以把惡意代碼隱藏在DSP其中。
Check Point在今年二月至三月時已經向高通報告了這些漏洞,而高通也在7月開發了一個修復補丁。目前不知道其他OEM廠商有沒有在這個補丁推送出去,起碼Google是還沒有的。因此Check Point也沒有把這些漏洞的具體技術細節公開。
【來源:超能網】
聲明:轉載此文是出於傳遞更多信息之目的。若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯繫,我們將及時更正、刪除,謝謝。 郵箱地址:[email protected]