【 8月9日消息】根据外媒研究人员报道,超10亿搭载高通骁龙芯片的安卓设备容易受到黑客攻击,这些黑客可以通过利用高通公司骁龙芯片中的400多个漏洞将其转变为间谍工具。
当目标下载芯片渲染的视频或其他内容时,可以利用这些漏洞。还可以通过安装不需要任何权限的恶意应用程序来攻击目标。
从那里,攻击者可以监视位置并实时收听附近的音频,并泄露照片和视频。漏洞利用还可能使手机完全不响应。感染可能会以难以消毒的方式从操作系统中隐藏。
骁龙是所谓的片上系统,提供了许多组件,例如CPU和图形处理器。其中一项功能称为数字信号处理或DSP,可处理多种任务,包括充电功能以及视频,音频,增强现实和其他多媒体功能。手机制造商还可以使用DSP运行启用自定义功能的专用应用程序。
新的攻击面
据国外安全公司Check Point的研究人员在一份简短的报告中写道:“虽然DSP芯片提供了一种相对经济的解决方案,该解决方案允许移动电话为最终用户提供更多功能并实现创新功能,但它们的确需要付出一定的成本。” 这些芯片为这些移动设备带来了新的攻击面和弱点。DSP芯片被当作“黑匣子”进行管理,因此更容易遭受风险,因为除制造商之外,任何其他人都很难审查其设计,功能或代码。”
Check Point表示,高通已经发布了针对该漏洞的修复程序,但到目前为止,尚未将其集成到安卓操作系统或任何使用骁龙的安卓设备中。当我问Google何时可以添加高通补丁时,公司发言人说要与高通核对。芯片制造商未回复电子邮件询问。
Check Point将保留有关该漏洞以及如何利用这些漏洞的技术详细信息,直到修复程序进入最终用户设备为止。Check Point已将漏洞称为“致命弱点”。跟踪了400多个不同的错误,分别为CVE-2020-11201,CVE-2020-11202,CVE-2020-11206,CVE-2020-11207,CVE-2020-11208和CVE-2020-11209。
另外,高通公司的官员在一份声明中说:“关于Check Point披露的高通电脑DSP漏洞,我们进行了认真的工作,以验证问题并为OEM提供适当的缓解措施。我们没有证据表明它目前正在被利用。我们鼓励最终用户在补丁可用时更新其设备,并仅从受信任的位置(例如Google Play商店)安装应用程序。”
Check Point表示,全球约40%的手机都包含骁龙。估计有30亿部安卓设备,这意味着超过10亿部手机。在M国市场,约90%的设备都嵌入了骁龙芯片。
没有太多有用的指导来提供用户保护自己免受这些攻击的机会。仅从Play下载应用程序会有所帮助,但是Google对应用程序进行审核的记录显示,建议的效果有限。也没有办法有效地识别被欺骗的多媒体内容。
#-#-#-#-#-#-#-#-#-#-#-#-#-#-#-#-#-#
各位看官,对于外媒报道的骁龙漏洞问题国内会发生吗?
来都来了,评论区留个言再走吧!!!
