Check Point的Slava Makaveev解釋說,高通Snapdragon晶片上存在400多個漏洞,無需所有者干預即可利用。
對創新和技術進步的不懈努力為攻擊者開闢了利用途徑。通常,技術巨頭會為其產品和設備採用第三方解決方案,這些解決方案主要包括通常稱為DSP晶片的數位訊號處理器單元。
DSP是一種健康的片上系統,具有各種硬體和軟體功能,包括充電/快速充電功能,優化多媒體體驗和增強音頻功能。換句話說,每個現代手機顯然都具有這些晶片之一。
Check Point的最新研究被稱為「致命弱點」,因此需要對DSP晶片進行廣泛的安全審查。高通技術公司(Qualcomm Technologies)是領先的第三方解決方案之一,它製造各種嵌入到設備中的DSP晶片。
更不用說占據了手機市場高達40%的份額。甚至Google,三星,LG,小米,OnePlus等高端公司也從高通公司購買DSP晶片。
令人不安的是,經Check Point測試,在Qualcomm Snapdragon DSP晶片中發現了400多個易受攻擊的代碼段。這項研究進一步解釋了如果利用這些漏洞如何將用戶的設備變成完美的「間諜工具」,而無需所有者干預。
不僅如此,攻擊者還可能使電話無用或無響應,這還包括使設備上的敏感信息無法訪問或永久不可用,例如圖片,聯繫人或視頻。
最危險的是,惡意軟體和其他令人討厭的代碼將能夠隱藏其惡意活動,在更壞的情況下,它們將變得完全不可移動。
研究強調,這些晶片確實為最終用戶提供了更多的特性,功能和創新,但是這樣做也有不利的一面。這些晶片的弱點使其易於受到攻擊。Check Point在博客文章中指出:
」由於將DSP晶片作為「黑匣子」進行管理,因此它們更容易遭受風險,因為除製造商之外,其他任何人都很難審查其設計,功能或代碼。「
但是,研究的目的是提高認識。到目前為止,還沒有出現這樣的實例或漏洞被利用的證據。但值得注意的是,正在對高通驍龍的安全狀況進行深入分析。
在Defcon虛擬網站上觀看Check Point關於Qualcomm相關漏洞的Slava Makkaveev演講–魔術始於17:42:
黑客利用高通晶片漏洞,控制手機視頻