编译:奇安信代码卫士团队

高通Snapdragon的芯片 Digital Signal Processor (DSP) 芯片中被指存在多个漏洞,可导致攻击者在无需用户交互的情况下控制超过40%的智能手机、监控用户并创建能够规避检测的无法删除的恶意软件。

DSP 是片上芯片单元,用于音频信号和数字图像处理、电信、消费者电子产品如电视和移动设备。

尽管DSP 芯片能够增强设备的复杂度并向设备添加新功能和能力,但它们也带来了新的弱点并扩大了设备的攻击面。

数千万设备易遭攻击

Check Point 公司的研究员发现了DSP芯片中存在多个漏洞。易受攻击的 DSP 芯片“几乎见于世界上所有的安卓手机上,包括谷歌、三星、LG、小米、一加等高端手机。”苹果公司的 iPhone 智能手机线并不受影响。

Check Point 公司将研究结果告知高通,后者证实漏洞的存在并告知设备厂商,这些漏洞共获得6个CVE编号:CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208和CVE-2020-11209.

研究人员表示,这些漏洞可导致:

  • 攻击者将手机转变为完美的监控工具,而无需任何用户交互。从手机可提取的信息包括照片、视频、通话记录、实时麦克风数据、GPS和地理位置信息等。

  • 使手机无法做出响应。导致所有存储在手机中的信息永久不可用,包括招聘、视频、通讯录详情等,换句话说造成针对性拒绝服务后果。

  • 使用恶意软件和其它恶意代码隐藏恶意活动,且恶意软件和代码无法删除。

高通修复漏洞

尽管高通已经修复这六个影响高通 Snapdragon DSP 芯片的安全缺陷,但移动厂商仍必须向设备用户执行并交付安全修复方案。由于设备仍易受攻击,因此威胁仍然存在。

研究人员并未发布漏洞技术详情,便于移动厂商开发并交付安全更新,缓解可能存在的任何风险。研究人员表示已将信息同步给政府官员以及相关合作厂商,并和这些利益相关者共享了完整的研究详情。

Check Point 公司指出,并未发现这些漏洞遭利用的证据,并建议用户尽快打补丁,仅从受信任的来源如谷歌应用商店安装应用。

Check Point 公司的网络研究负责人 Yaniv Balmas 表示,“尽管高通已修复该问题,但遗憾的是事情并未结束。数亿台手机易遭该安全风险影响。用户可能遭监控,所有数据均可能丢失。如发现这类漏洞且遭恶意利用,那么在很长时间内数百万手机用户无法保护自身安全。”

Check Point 公司的研究员 Slava Makkaveev 将在 DEF CON 2019 大会上阐述相关研究成果。

原文链接

https://www.bleepingcomputer.com/news/security/nearly-50-percent-of-all-smartphones-affected-by-qualcomm-snapdragon-bugs/

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。