数百万部Android手机因高通芯片中的“阿喀琉斯”缺陷而面临风险

2020-08-09 02:39:15

当你在寻找一款新的智能手机时,很可能你首先关注的是价格、设计和功能--而不是内部驱动它的硅片。然而,研究人员发现,高通的骁龙芯片是安卓手机中使用最广泛的芯片之一,该芯片存在数百位易受攻击的代码,使数百万安卓用户面临风险。

稍微打个比方,高通是几家知名科技公司的主要芯片供应商。2019年,其骁龙系列处理器可以在近40%的安卓智能手机上找到,包括谷歌、三星、小米、LG和OnePlus的备受瞩目的旗舰手机。网络安全公司Check Point的研究人员发现,高通骁龙芯片中的数字信号处理器(DSP)有400多条易受攻击的代码。这些漏洞,统称为“阿喀琉斯”,可以在三个主要方面影响手机。

在过去的几个月里,很多人-包括这位记者-观看了他们最喜欢的当地…。

多读。

攻击者只需说服某人安装一款看似良性的应用程序,就可以绕过通常的安全措施。一旦完成,攻击者就可以将受影响的手机变成间谍工具。他们将能够访问手机的照片、视频、GPS和位置数据。黑客还有可能在主人不知情的情况下录制通话并打开手机的麦克风。或者,攻击者可以选择通过锁定存储在智能手机上的所有数据来使智能手机完全无法使用,研究人员将其描述为“有针对性的拒绝服务攻击”。最后,不良行为者还可以利用漏洞,以受害者不知道且无法移除的方式隐藏恶意软件。

之所以发现这么多漏洞,部分原因是DSP是一种“黑匣子”。除了DSP的制造商之外,任何人都很难审查是什么让它们工作。这可以被视为一件好事,因为它使他们成为一个难以攻克的坚果。相反,这也意味着安全研究人员不能轻松地测试它们,这意味着它们可能已经成熟,可以应对几个未知的安全漏洞。另一方面,DSP支持许多我们期待在智能手机上实现的创新功能。这包括快速充电,以及视频、高清捕获和高级AR等各种多媒体功能。它使DSP成为一个超级高效和经济的组件,但可能会为黑客控制设备开辟更多途径。

Check Point表示,它已经向高通、政府官员和受影响的供应商披露了调查结果。然而,该公司表示,它不会公开公布阿喀琉斯漏洞的细节,因为可能有数百万台设备仍处于危险之中。虽然据报道高通已经解决了这个问题,但这并不意味着你的Android手机就会自动安全。这取决于手机制造商将相关的安全补丁推向他们的客户群,这可能需要一些时间。

在给CNET的一份声明中,高通表示,它已经“努力验证这个问题,并向智能手机制造商提供适当的缓解措施”。虽然该公司表示,没有发现任何证据表明阿喀琉斯漏洞在野外被利用,但它建议Android用户在补丁发布后更新手机,只安装官方应用商店经过验证的应用程序。

我们已经与高通和主要手机制造商联系,征求意见,并将在收到回复时更新。如果您对该漏洞或如何处理有所了解,可以给我发电子邮件至[email protected]或通过SecureDrop匿名联系。