骁龙芯片缺陷使超过10亿部安卓手机面临数据被盗风险

2020-08-08 22:44:06

研究人员本周报告称,10亿或更多的Android设备容易受到黑客的攻击,这些黑客可以利用高通Snapgon芯片中的400多个漏洞将这些设备变成间谍工具。

当目标下载由芯片呈现的视频或其他内容时,可以利用这些漏洞。还可以通过安装根本不需要权限的恶意应用程序来攻击目标。

从那里,攻击者可以实时监控位置和收听附近的音频,并渗出照片和视频。利用漏洞还可以使电话完全无响应。感染可以对操作系统隐藏起来,这使得消毒变得困难。

骁龙是众所周知的DSP或数字信号处理芯片。这种类型的片上系统实质上就是单片上的整个计算机。多个硬件和软件组件可处理各种任务,包括充电功能以及视频、音频、增强现实和其他多媒体功能。手机制造商还可以使用DSP来运行启用自定义功能的专用应用程序。

安全公司Check Point的研究人员在一份关于他们发现的漏洞的简短报告中写道:“虽然DSP芯片提供了一种相对经济的解决方案,允许手机为最终用户提供更多功能并启用创新功能,但它们确实是有成本的。”“这些芯片给这些移动设备带来了新的攻击面和弱点。DSP芯片更容易受到风险的影响,因为它们被当作‘黑匣子’来管理,因为除了它们的制造商之外,任何人审查它们的设计、功能或代码都可能非常复杂。“。

Check Point说,高通已经发布了针对这些漏洞的修复程序,但到目前为止,它还没有整合到Android操作系统或任何使用骁龙的Android设备中。当我问谷歌何时可能添加高通补丁时,一位公司发言人说要与高通核实一下。这家芯片制造商没有回复询问的电子邮件。

Check Point保留了有关漏洞以及如何利用这些漏洞的技术细节,直到修复程序进入最终用户设备。Check Point将这些漏洞称为阿喀琉斯(Achilles)。

高通公司官员在一份声明中说:“关于Check Point披露的高通计算DSP漏洞,我们努力验证该问题,并向OEM提供适当的缓解措施。我们没有证据表明它目前正在被利用。我们鼓励终端用户在补丁可用时更新他们的设备,并且只安装来自可信位置的应用程序,如Google Play商店。“

Check Point表示,全球约40%的手机都安装了骁龙。估计有30亿台Android设备,相当于超过10亿部手机。在美国市场,Snapdragons嵌入了大约90%的设备。

没有太多有用的指导来为用户提供保护自己免受这些攻击的指导。只从Play下载应用程序可以有所帮助,但谷歌审查应用程序的记录表明,建议的效果有限。也没有办法有效地识别诱骗的多媒体内容。