高通修补了骁龙DSP芯片中的六个安全漏洞,使得攻击者能够在不需要任何用户交互的情况下接管Android手机

2020-08-07 23:32:13

在高通的骁龙芯片数字信号处理器(DSP)芯片中发现的几个安全漏洞,可以让攻击者在没有用户交互的情况下控制超过40%的智能手机,监视他们的用户,并创建能够逃避检测的不可移除的恶意软件。

DSP是片上系统单元,用于包括电视和移动设备在内的消费电子产品中的音频信号和数字图像处理以及电信。

尽管它们很复杂,DSP芯片可以为任何设备增加许多新的特性和功能,但不幸的是,它们也引入了新的弱点,扩大了设备的攻击面。

据发现这些漏洞的check Point研究人员称,这个易受攻击的DSP芯片几乎存在于地球上每一部安卓手机中,包括谷歌、三星、LG、小米、一加等公司的高端手机。

苹果的iPhone智能手机系列不受Check Point在其报告中发现和披露的安全问题的影响。

Check Point向高通披露了他们的发现,高通承认了他们的发现,并通知了设备供应商,并为他们分配了以下六个CVE:CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208和CVE-2020-11209。

·攻击者将手机变成完美的间谍工具,无需任何用户互动。可以从手机中渗出的信息包括照片、视频、通话记录、实时麦克风数据、GPS和位置数据等·可能会使手机持续无响应。使存储在这部手机上的所有信息永久不可用-包括照片、视频、联系方式等-换句话说,这是一次有针对性的拒绝服务攻击。·可以使用恶意软件和其他恶意代码可以完全隐藏其活动并变得不可删除。

尽管高通已经修补了被发现影响高通骁龙DSP芯片的6个安全漏洞,但移动厂商仍需对其设备用户实施和交付安全补丁,但威胁依然存在,因为这些设备仍容易受到攻击。

Check Point研究人员没有公布这些漏洞背后的技术细节,以允许移动供应商开发并向用户提供安全更新,以减轻任何可能的风险。

然而,我们决定发表这篇博客来提高人们对这些问题的认识,Check Point在早些时候与BleepingComputer分享的一份研究报告中解释道。

我们还更新了相关的政府官员,以及我们在这项研究中与之合作的相关移动供应商的最新情况,以帮助他们使自己的手机更安全。所有的研究细节都透露给了这些利益相关者。

提供支持强大安全和隐私的技术是高通的优先事项。关于Check Point披露的QUALCOMM Compute DSP漏洞,我们努力验证该问题,并向OEM提供适当的缓解措施。我们没有证据表明它目前正在被利用。我们鼓励终端用户在补丁可用时更新其设备,并仅从Google Play应用商店等可信位置安装应用程序。--高通发言人。

Check Point网络研究主管亚尼夫·巴尔马斯表示:“虽然高通已经解决了这个问题,但遗憾的是,这并不是故事的结束。”

数以亿计的手机暴露在这种安全风险之下。你可以被监视。您可能会丢失所有数据。如果这样的漏洞被恶意行为者发现并利用,它将发现数百万手机用户在很长一段时间内几乎没有办法保护自己。

Check Point安全研究员Slava Makkaveev将于明天在DEF CON 2020大会上展示这些漏洞背后的研究成果,他将在一场名为“Pwn2Own Qualcomm Computer DSP”的演讲中展示,这场演讲的主题是“娱乐和盈利”(Pwn2Own Qualcomm Computer DSP)。

现在是谷歌、三星和小米等供应商将这些补丁集成到他们的整个手机系列中的时候了,无论是在制造中还是在市场上。我们估计,所有供应商都需要一段时间才能将补丁集成到他们所有的手机中。因此,我们不认为把技术细节公布给每个人是负责任的做法,因为这件事落入坏人手中的风险很高。目前,消费者必须等待相关供应商也实施修复。