高通芯片中检测到的漏洞使40%的智能手机面临风险

已发现基于Qualcomm的Snapdragon芯片DSP(数字信号处理器),攻击者可以使用几个安全漏洞来控制40%以上的SmartPhone,监视其用户并注入逃避检测的恶意软件。

DSP是片上系统单元,用于包括电视和移动电话在内的消费电子产品中的音频,用于信号和数字图像处理以及电信。这些芯片可以添加到任何设备。不幸的是,他们可能会引入新的星期积分,并扩大设备的攻击面。

据Check Point研究人员称,易受攻击的DSP芯片“几乎可以在地球上的所有Android手机中找到,包括来自Google,三星,LG,小米,OnePlus等的高端手机。但是,苹果的iPhone智能手机产品线却并非如此。研究人员的报告说,受到安全问题的影响。

Check Point向高通公司披露了他们的发现,高通公司对此予以认可并通知设备供应商,并为其分配了六个CVE,包括:CVE:CVE-2020-11201,CVE-2020-11202,CVE-2020-11206,CVE-2020-11207 ,CVE-2020-11208和CVE-2020-11209。根据研究人员的说法,该漏洞使攻击者能够:

将电话变成一个完美的间谍工具,而无需任何用户交互。可以从手机中提取的信息包括照片,视频,通话记录,实时麦克风数据,GPS和位置数据等,

使手机不断反应迟钝。使此手机上存储的所有信息(包括照片,视频,联系方式等)永久不可用,换句话说,这是有针对性的拒绝服务攻击,

使用恶意软件和其他恶意代码可以完全隐藏其活动并变得不可移动

高通公司已修复了DSP芯片上发现的六个安全漏洞。但是,由于设备仍然容易受到攻击,因此存在威胁。

研究人员未发布有关漏洞的任何技术信息。他们在研究报告中说:“但是,我们决定发布此博客,以提高人们对这些问题的认识。我们还更新了相关的政府官员以及与我们合作进行这项研究的相关移动设备供应商,以帮助他们制造手机更安全。向这些利益相关者透露了完整的研究细节。”

高通公司发言人说:“提供支持强大安全性和隐私性的技术是高通公司的首要任务。关于Check Point披露的Qualcomm Compute DSP漏洞,我们进行了认真的工作以验证问题并为OEM提供适当的缓解措施。我们没有证据表明它目前正在被利用。我们鼓励最终用户在补丁可用时更新其设备,并仅从受信任的位置(例如Google Play商店)安装应用程序。”

“尽管高通已经解决了这个问题,但遗憾的是故事还没有结束。数以亿计的电话面临这种安全风险。您可以被监视。您可能会丢失所有数据。如果恶意攻击者发现并利用了这些漏洞,它将发现数百万的手机用户在很长一段时间内几乎无法保护自己。” Check Point网络研究主管Yaniv Balmas说道。

Check Point安全研究员Slava Makkaveev将于明天在DEF CON 2020上介绍这些漏洞的背后研究者。

“现在,由制造商和市场将这些补丁程序集成到其整个电话线中的厂商,例如Google,三星和小米。我们估计所有供应商都需要一段时间才能将补丁集成到他们的所有手机中。因此,鉴于这种情况落入不当之手的高风险,我们不认为要与所有人一起发布技术细节。目前,消费者必须等待相关厂商也实施修复。”