由於研究人員在高通的Snapdragon芯片中發現了400個漏洞,這是智能手機和其他小工具的標準配置,因此可能會損害超過10億個Android手機。
Google,三星,小米,LG和OnePlus可以在領先的電話產品上找到Snapdragon系統,可以在領先的電話產品上找到。除智能手機外,在汽車系統,可穿戴設備和其他設備中還可以找到高通芯片。
同時,iPhone在蘋果創建其處理器時相對安全地避免了缺陷。
根據報告每日郵報,這些缺陷稱為“阿喀琉斯”,它允許黑客訪問設備上的視頻,照片,位置數據和其他敏感細節。
安全公司檢查點發現了這些缺陷。在部落格發表在其網站上,用戶只需要安裝一個看似安全的應用程序,這將使黑客因惡意軟件而發動攻擊。
Check Pointe還寫道,在已測試的DSP芯片中發現了400多個脆弱的代碼,這可能會對受影響的電話產生以下影響:
- 受影響的手機無需用戶互動即可將受影響的手機變成間諜工具。攻擊者可以滲透敏感的數據,例如照片,視頻,呼叫錄音,GPS,實時麥克風數據以及來自手機的位置數據。
- 用戶可能會被拒絕服務,因為攻擊者可能會使手機無響應和所有存儲的信息永久性地呈現。
- 隱藏惡意軟件和其他惡意代碼,並將其修復在設備上。
Check Point網絡研究負責人Yaniv Balmas警告說,用戶可能會因為“可以監視”而丟失所有數據。
Balmas說,如果網絡攻擊者使用這些漏洞,它可能會傳播給數百萬無法保護自己的手機用戶。
高通對安全報告的回應
檢查點已經與高通和受影響的智能手機供應商聯繫以分享其發現。它不打算在公共場所發布缺陷,以避免黑客利用它們。
該公司還向相關政府官員以及移動供應商揭示了完整的研究細節,以幫助他們更安全。
為了回應報告,高通發誓要解決漏洞。根據ARS Technica,它已為這些缺陷發布了修復程序,包括新的編譯器和一個新的軟件開發套件。但是,檢查點表示,它尚未將修復程序納入受影響的Android OS或使用Snapdragon的任何Android設備中。
巴爾馬斯說,將要求供應商重新編譯其使用的每個數字信號處理器(DSP)應用程序。他們需要測試它們並解決任何問題,然後“將這些修復程序運送到當前市場上可用的所有設備”。
但是,什麼時候ARS Technica詢問Google何時會添加補丁時,發言人將媒體轉交給了高通的媒體,該媒體沒有回復發送的電子郵件查詢。
儘管電子開發人員長期以來一直歡迎DSP技術的速度,性能,5G支持,功能能力,圖形支持和嵌入式指紋閱讀能力,但由於可能的缺陷,安全專家都對安全專家進行了關注。 Check Point研究人員在報告中寫道,DSP是“一個相對經濟的解決方案,但它具有成本。
Balmas說:“我們的研究設法打破了這些限制,我們能夠非常了解芯片的內部設計和實施。”
雖然高通公司表示沒有報導說這種漏洞的剝削,但它建議客戶僅在Google Play商店(例如Google Play商店)中使用可靠的補丁更新設備。
