对于我们大多数人来说,设备和数据的安全至关重要。我们都采取措施确保我们的设备不易受到恶意攻击,但在某些不幸的情况下,我们无能为力。
全球最大的移动 SoC 制造商高通公司以提供气密、安全的模块而感到自豪。但令人惊讶的是,部分高通芯片组最近暴露了一系列名为质量Pwn。研究人员在腾讯刀锋团队对它们进行了测试并将其报告给谷歌和高通以立即进行修补。
如果您不了解 QualPwn 以及所报告漏洞的影响,请阅读以下部分以快速了解情况。所以,事不宜迟,让我们深入探讨一下。
什么是 QualPwn?
QualPwn 是中国最大的科技公司之一腾讯刀片在高通移动芯片组中发现的一系列漏洞。这一系列漏洞允许犯罪者攻击您的无线局域网和调制解调器 无线,然后可以导致全面爆发n 内核利用。从理论上讲,QualPwn 可以让攻击者获得您设备的完全 root 访问权限,而您却不会感受到正在进行的攻击。
受影响的芯片组
腾讯Blade团队最初在Google Pixel 2和Pixel 3上进行了测试,得出的结论是运行在Qualcomm上的设备骁龙 835 或 骁龙 845可能很脆弱。
作为一家负责任的科技公司,腾讯Blade将其发现报告给了高通,后者不懈地努力修补可能存在漏洞的芯片组。在成功解决漏洞后,高通发布了已修补的芯片组列表。
受影响的芯片组列表
这些是受 QualPwn 漏洞影响的处理器。如果您的设备由任何这些处理器供电,则您的设备容易受到攻击。
- 骁龙636
- 骁龙665
- 骁龙675
- 金鱼草 712 / 金鱼草 710 / 金鱼草 670
- 骁龙730
- 骁龙820
- 骁龙835
- 骁龙 845 / 标清 850
- 骁龙855
- 骁龙8CX
- 骁龙 660 开发套件
- 骁龙630
- 骁龙660
- 骁龙 820 汽车
- IPQ8074
- QCA6174A
- QCA6574AU
- QCA8081
- QCA9377
- QCA9379
- QCS404
- QCS405
- QCS605
- SXR1130
您的设备受到影响吗?
理论上,如果您的设备由上面列出的任何处理器提供支持,并且尚未安装 8 月或最新的安全补丁,则它存在被 QualPwn 利用的风险。
如何防范 QualPwn 漏洞?
在收到腾讯Blade的报告后,高通立即开始研究可能存在漏洞的芯片组。他们花了好几个月的时间,但 OEM 厂商已经通过最新的安全更新提供了修复程序。
当中国整车厂,一加和小米,提前发布了安全更新,许多爱好者预测这些公司正在尝试修补一个重大漏洞。最终,高通已解决通过一份精心设计的新闻稿解决了这个问题,透露他们已经向各个原始设备制造商提供了补丁,这应该可以很好地解决这个问题。
提供支持强大安全性和隐私性的技术是高通公司的首要任务。我们赞扬腾讯的安全研究人员通过我们的漏洞奖励计划使用行业标准的协调披露实践。 Qualcomm Technologies 已向 OEM 厂商发布了修复程序,我们鼓励最终用户在 OEM 厂商提供补丁后更新其设备。
因此,请务必在 OTA 可用后立即更新您的设备。
现在,如果您的智能手机的 OEM/运营商不定期推出安全更新,那么几乎不可能使其防弹。但您仍然可以采取一些措施来确保最大程度的安全。
由于 QualPwn 攻击者只能通过 WLAN 进行攻击,因此无法通过无线方式进行攻击,至少在真正意义上是这样。要成功利用您的设备,犯罪者需要位于同一 WiFi 网络上,并且对漏洞利用有全面的了解。
此外,只有腾讯 Blade 知道该漏洞以及如何滥用它。值得庆幸的是,该公司尚未发布任何与此相关的公开信息,因此,到目前为止,该漏洞尚未被广泛利用。
最重要的是,腾讯 Blade 透露,在高通和 OEM 厂商为大多数智能手机提供修复程序之前,他们不会透露具体细节。
防病毒软件可以解决这个问题吗?
由于该漏洞根深蒂固,无法通过第三方防病毒软件修复。因此,除了安装最新的安全补丁之外,您无能为力。如果您对自己的选择不满意,您可以购买搭载 Exynos 的智能手机。
多年来我们已经看到许多基于 Linux 的漏洞利用。黑客不断地利用这些漏洞来访问敏感数据。然而,这看起来比实际情况更糟。
是的,它可能会让攻击者完全访问您的内核和所有数据。但这里要记住的是,有很多变量,需要完美地排列起来,攻击者才有机会。
高通和其他芯片组制造商必须吸取这次失误的教训,从中吸取教训,并确保用户不会因为自己的缺点而承担责任。
有关的
- 安卓 10 更新 →|||
- Android 10 新闻 →|||
