由于研究人员在高通的Snapdragon芯片中发现了400个漏洞,这是智能手机和其他小工具的标准配置,因此可能会损害超过10亿个Android手机。
Google,三星,小米,LG和OnePlus可以在领先的电话产品上找到Snapdragon系统,可以在领先的电话产品上找到。除智能手机外,在汽车系统,可穿戴设备和其他设备中还可以找到高通芯片。
同时,iPhone在苹果创建其处理器时相对安全地避免了缺陷。
根据报告每日邮报,这些缺陷称为“阿喀琉斯”,它允许黑客访问设备上的视频,照片,位置数据和其他敏感细节。
安全公司检查点发现了这些缺陷。在博客发表在其网站上,用户只需要安装一个看似安全的应用程序,这将使黑客因恶意软件而发动攻击。
Check Pointe还写道,在已测试的DSP芯片中发现了400多个脆弱的代码,这可能会对受影响的电话产生以下影响:
- 受影响的手机无需用户互动即可将受影响的手机变成间谍工具。攻击者可以渗透敏感的数据,例如照片,视频,呼叫录音,GPS,实时麦克风数据以及来自手机的位置数据。
- 用户可能会被拒绝服务,因为攻击者可能会使手机无响应和所有存储的信息永久性地呈现。
- 隐藏恶意软件和其他恶意代码,并将其修复在设备上。
Check Point网络研究负责人Yaniv Balmas警告说,用户可能会因为“可以监视”而丢失所有数据。
Balmas说,如果网络攻击者使用这些漏洞,它可能会传播给数百万无法保护自己的手机用户。
高通对安全报告的回应
检查点已经与高通和受影响的智能手机供应商联系以分享其发现。它不打算在公共场所发布缺陷,以避免黑客利用它们。
该公司还向相关政府官员以及移动供应商揭示了完整的研究细节,以帮助他们更安全。
为了回应报告,高通发誓要解决漏洞。根据ARS Technica,它已为这些缺陷发布了修复程序,包括新的编译器和一个新的软件开发套件。但是,检查点表示,它尚未将修复程序纳入受影响的Android OS或使用Snapdragon的任何Android设备中。
巴尔马斯说,将要求供应商重新编译其使用的每个数字信号处理器(DSP)应用程序。他们需要测试它们并解决任何问题,然后“将这些修复程序运送到当前市场上可用的所有设备”。
但是,什么时候ARS Technica询问Google何时会添加补丁时,发言人将媒体转交给了高通的媒体,该媒体没有回复发送的电子邮件查询。
尽管电子开发人员长期以来一直欢迎DSP技术的速度,性能,5G支持,功能能力,图形支持和嵌入式指纹阅读能力,但由于可能的缺陷,安全专家都对安全专家进行了关注。 Check Point研究人员在报告中写道,DSP是“一个相对经济的解决方案,但它具有成本。
Balmas说:“我们的研究设法打破了这些限制,我们能够非常了解芯片的内部设计和实施。”
虽然高通公司表示没有报道说这种漏洞的剥削,但它建议客户仅在Google Play商店(例如Google Play商店)中使用可靠的补丁更新设备。
