DSP!高通芯片驚爆400+漏洞,近半數安卓手機或成完美的間諜工具
2020-08-11 11:40:07 EETOP發布報告的Check Point 指出,黑客可以在未經用戶許可的情況下,透過這些漏洞在目標設備上安裝惡意應用程式,并輕易竊取用戶數據、追蹤用戶位置或進行監聽。
具體影響如下:
攻擊者可以將手機變成一個完美的間諜工具,無需任何用戶操作 - 可以從手機中輕易活得包括照片,視頻,通話錄音,實時語言,GPS和位置數據等隱私信息。
攻擊者能夠使手機持續無響應,使存儲在手機上的所有信息永久無法使用(包括照片、視頻、聯系方式等)。
黑客將可輕易利用漏洞在操作系統中隱藏惡意代碼,并使其無法刪除,甚至強制關機,觸發后將很難再透過操作手機來解決問題。
這些漏洞不僅會影響驍龍的數字信號處理,還可以控制快速充電等功能。
什么是特權升級攻擊?
當然目前已經這些問題匯報給高通,并希望能盡快推出修補程序。高通已將這些漏洞命名為「阿基里斯」(Achilles),并將以下CVE 分配給這些漏洞進行追蹤:CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207 、CVE-2020-11208、CVE-2020-11209。不過目前Check Point 還未公布相關技術細節,以及受影響的芯片型號。
基本上,它們似乎易于受到DoS(拒絕服務)或特權升級攻擊。
這是一種網絡攻擊,用于獲得對安全范圍內系統的未授權訪問。一旦進入,攻擊者就可以控制目標設備并將其作為間諜工具。他們可以使該設備幾乎無用,或者使用惡意軟件將他的活動隱藏在手機內,從而無法移動。
DSP(數字信號處理器)集成于驍龍SOC芯片之中,以Hexagon命名,目前驍龍865 SOC集成的是Hexagon 698 DSP信號處理器。據悉手機上的DSP主要完成以下任務:
AI引擎
充電功能(例如“快速充電”功能)
多媒體體驗,例如視頻,HD Capture,高級AR功能
各種音頻功能
雖然DSP芯片提供了一種相對經濟的解決方案,該解決方案允許移動電話為最終用戶提供更多功能并啟用創新功能,但它們的確需要付出一定的成本。這些芯片為這些移動設備引入了新的攻擊面和弱點。由于將DSP芯片作為“黑匣子”進行管理,因此它們更容易遭受風險,因為除制造商之外,其他任何人都很難審查其設計,移動廠商要解決這些問題非常困難,這些問題需要由芯片制造商首先解決。
報告指出,就算高通已經著手處理,但這遠不是事件的結束,這些漏洞早已深遠的影響整個智能手機的生態,會有更深層的問題仍隱藏在復雜的供應鏈,且就算高通很快推出解決方案,也不代表品牌商會很快地推送到用戶手中,且依漏洞數量之多,很難保證每個用戶手機都能被修補。
據了解,高通正在緊急進行修復,并積極與OEM 廠合作,因為部分漏洞真的很嚴重,甚至就算只從受到認證的軟件平臺下載App 都不能保證安全無恙。這將可能會是近期最大的網絡安全事件,后續值得關注。
免責聲明:本文由作者原創。文章內容系作者個人觀點,轉載目的在于傳遞更多信息,并不代表EETOP贊同其觀點和對其真實性負責。如涉及作品內容、版權和其它問題,請及時聯系我們,我們將在第一時間刪除!
