最近谷歌釋出了一個更新來修復安卓裝置上的關鍵安全和漏洞問題,然而一份報告顯示,在高通晶片組的DSP上發現了400多段易受攻擊的程式碼。該公司表示如果無人看管,智慧手機可能會被駭客安裝惡意軟體。據報道,他們對高通公司AP應用處理器上的DSP晶片進行了深入的審查,發現了高通驍龍晶片組的DSP內隱藏的漏洞。
DSP是一種數字訊號處理器。它是實現使用者與韌體之間實時請求的重要組成部分之一。這些技術包括影象、音訊和聲音處理、神經網路計算、攝像流、GPS定位等等。
發現的漏洞代號為CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208和CVE-2020-11209。基本上它們似乎容易受到拒絕服務或特權升級攻擊。
這是一種網路攻擊,用於獲得對安全範圍內的系統的未授權訪問。一旦進入,攻擊者就可以控制目標裝置,他們會讓手機變得毫無用處,或者使用惡意軟體在手機裡隱藏他的活動,讓手機無法使用。
該報告進一步表示,攻擊者可以獲得個人資料。這包括照片、影片、錄音、GPS定位資料、麥克風資料等等。然後他們只需要誘導使用者點選可執行檔案並獲得訪問權來利用它們。一旦成功,他就可以建立一個永久的拒絕服務來破壞裝置。從長遠來看,可以讓裝置變成磚塊,破壞韌體,讓它變得無用。
DSP有一個類似黑盒子的情況,使得製造商分析它變得非常複雜。因此儘管DSP以更低的成本提供了各種解決方案,但它具有一個較弱的環節,需要供應商、製造商和分析師協同工作。
據報道,高通驍龍晶片在大部分安卓旗艦店佔據了近40%的市場份額。由於安卓已經是最脆弱的,對公司來說,應對進一步的開發將是一場噩夢。
報告稱,該問題早在2月份就報告給了高通,儘管該公司在6月份就釋出瞭解決方案,但尚不清楚製造商是否推動了該解決方案。根據報告,甚至在7月底谷歌也沒有解決這個漏洞。
【來源:翔哥的科技漫談】
宣告:轉載此文是出於傳遞更多資訊之目的。若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯絡,我們將及時更正、刪除,謝謝。 郵箱地址:[email protected]