Categories
程式開發

高通骁龙芯片被曝出超400个漏洞,三星、小米等手机厂商可能受影响


近日,以色列安全厂商Check Point在官网发表了一篇博客文章,披露高通骁龙芯片存在超过400个安全漏洞,这不仅影响到三星、小米、LG和OnePlus等使用该芯片的手机厂商,而且使广大用户面临风险。

据悉,在一项被称为“Achilles”的研究中,Check Point研究人员对高通的DSP芯片进行了广泛的安全检查。经过检测,他们发现高通的DSP芯片有超过400个安全漏洞。

高通骁龙芯片被曝出超400个漏洞,三星、小米等手机厂商可能受影响 1

Check Point向高通报告了上述发现,高通承认漏洞的存在,并将这些漏洞归为CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209。

根据Check Point的研究,这些漏洞会给手机用户带来严重的安全风险。

第一,无需用户进行任何操作,攻击者就可以将用户的手机变成一个完美的间谍工具。一旦如此,攻击者就能从用户手机中窃取信息,包括照片、视频、通话记录、实时的麦克风数据、GPS和位置数据等。

第二,攻击者不仅能让用户手机经常地失去反应,而且还可以让存储在手机中的信息永久不可用,包括照片、视频和联系方式等。换句话说,攻击者可以发动有针对性的DoS攻击。

第三,恶意软件和其他的恶意代码可能完全隐藏自己的活动,并且不能清除

Check Point称“决定不公布上述漏洞的全部细节,直到手机厂商有全面的解决方案能减轻可能存在的风险”。

据Strategy Analytics的统计显示,在2019年全球智能手机AP(Apps Processor)市场中,高通占有36%的市场份额,排名第一。高通芯片广泛应用于国内外智能手机中,包括谷歌、三星、LG、小米和OnePlus等。

高通骁龙芯片被曝出超400个漏洞,三星、小米等手机厂商可能受影响 2

一旦安全漏洞被攻击者所利用,后果将不堪设想。

当前,全球有超过30亿的手机用户,智能手机已经成为我们日常生活中不可分割的重要组成部分。

随着智能手机市场的持续增长,手机厂商竞争不断加剧,它们纷纷在最新的设备上推出新功能、提供新特性以及更好的技术创新。为支持这种持续的创新活动,手机厂商常常依靠第三方平台提供所需的硬件和软件。其中,最常见的第三方解决方案之一是数字信号处理单元( the Digital Signal Processor unit),即通常所说的DSP芯片。

根据维基百科,DSP(数字信号处理器)是一种专用于(通常为实时的)数字信号处理的微处理器。有了DSP,智能手机才能提供一些功能,比如:

  • 充电功能(例如快充);
  • 多媒体影音体验,比如视频、HD拍摄和先进的AR功能;
  • 多样化的音频功能。

简而言之,DSP是单芯片上的“完整计算机”,并且几乎任何智能手机都至少包含这些芯片之一。单个SoC可能包括确保智能手机日常使用的功能,例如图像处理、计算机视觉、与神经网络相关的计算、音频和语音数据。此外,供应商还可以选择利用这些“微型计算机”添加自己的功能,而这些功能将作为专用的应用程序运行在现有框架之上。

虽然DSP芯片提供了一种相对经济的解决方案,允许智能手机向用户提供更多功能,并确保有创新性的功能,但是这也伴随一定的成本。

Check Point写道:“这类芯片引入了新的攻击平面,同时增加了智能手机的弱点。由于将DSP芯片作为“黑匣子”进行管理,因此它们更容易遭受风险。因为除了制造商之外,其他任何人都很难审查其设计、代码或功能。”