高通芯片出現漏洞!超10億部安卓手機受影響,或面臨數據盜竊風險
據研究人員本週報道,十億甚至更多的Android設備容易受到黑客攻擊,這些黑客可以通過利用高通公司Snapdragon芯片中的400多個漏洞將其轉變為間諜工具。當目標下載芯片渲染的視頻或其他內容時,可以利用這些漏洞,通過安裝不需要任何權限的惡意應用程序來攻擊目標,攻擊者可以監視位置並實時收聽附近的音頻,並泄露照片和視頻。漏洞利用還可能使手機完全不響應。感染可能會以難以消毒的方式從操作系統中隱藏。
Snapdragon是所謂的片上系統,提供了許多組件,例如CPU和圖形處理器。其中一項功能稱為數字信號處理或DSP,可處理多種任務,包括充電功能以及視頻、音頻,增強現實和其他多媒體功能。手機制造商還可以使用DSP運行啓用自定義功能的專用應用程序。
安全公司Check Point的研究人員在一份簡短的報告中寫道:“雖然DSP芯片提供了一種相對經濟的解決方案,該解決方案允許移動電話為最終用户提供更多功能並實現創新功能,但它們的確需要付出一定的成本。” 這些芯片為這些移動設備帶來了新的攻擊面和弱點。DSP芯片被當作“黑匣子”進行管理,因此更容易遭受風險,因為除製造商之外,其他任何人都很難審查其設計,功能或代碼。”
此前,高通公司已經發布了針對這些缺陷的修復程序,但是到目前為止,它還沒有被集成到使用Snapdragon的Android操作系統或任何Android設備中。Check Point將保留有關漏洞以及如何利用這些漏洞的技術詳細信息,直到修補程序進入最終用户設備為止。Check Point已將漏洞稱為“致命弱點”。跟蹤了400多個不同的錯誤,分別為CVE-2020-11201,CVE-2020-11202,CVE-2020-11206,CVE-2020-11207,CVE-2020-11208和CVE-2020-11209。
高通公司的官員在一份聲明中説:“關於Check Point披露的Qualcomm Compute DSP漏洞,我們進行了認真的工作以驗證問題併為OEM提供適當的緩解措施。我們沒有證據表明它目前正在被利用。我們鼓勵最終用户在補丁可用時更新其設備,並僅從受信任的位置(例如手機應用商店)安裝應用程序。”Check Point表示,全球約40%的手機都包含Snapdragon,估計有30億部Android設備,這意味着將有超過10億部手機,而在美國市場,約90%的設備都嵌入了Snapdragons。
【
加個關注,及時獲取最新科技資訊
】