高通公司的Snapdragon晶片數位訊號處理器(DSP)晶片中發現了幾個安全漏洞,攻擊者可以控制幾乎所有智慧型手機的40%,監視他們的用戶,並製造出無法移動的能夠逃避檢測的惡意軟體。
DSP是片上系統單元,用於包括電視和移動設備在內的消費電子產品中的音頻信號和數字圖像處理以及電信。
儘管DSP晶片複雜且具有許多新功能,但不幸的是,它們也導致新的漏洞產生並擴大了設備的攻擊面。
數以億計的設備遭受攻擊
據發現這些漏洞的Check Point研究人員稱,易受攻擊的DSP晶片「可以在地球上幾乎所有的Android手機中找到,包括Google,三星,LG,小米,OnePlus等的高端手機。」
Apple的iPhone智慧型手機產品線不受Check Point在其報告中發現和披露的安全問題的影響。
Check Point向高通公司披露了他們的發現,高通公司對此予以認可,並通知了設備供應商,並為他們分配了以下六個CVE:CVE-2020-11201,CVE-2020-11202,CVE-2020-11206,CVE-2020-11207,CVE-2020-11208和CVE-2020-11209。
根據Check Point的說法,這些漏洞可能導致:
•攻擊者將電話變成完美的間諜工具,而無需任何用戶交互。可以從電話中竊取的信息包括照片,視頻,通話記錄,實時麥克風數據,GPS和位置數據等。
•可能能夠使手機始終不響應。使此手機上存儲的所有信息永久不可用-包括照片,視頻,聯繫方式等-換句話說,是有針對性的拒絕服務攻擊。
•可以使用惡意軟體,而其他惡意代碼可以完全隱藏其活動並變得不可移動。
高通修復了漏洞,安全更新來了
儘管高通已經修復了影響高通Snapdragon DSP晶片的六個安全漏洞,但移動廠商仍必須實施並向其設備用戶提供安全修復程序,但這種威脅仍然存在,因為這些設備仍然容易受到攻擊。
Check Point研究人員並未發布這些漏洞背後的技術詳細信息,以允許移動供應商開發並向用戶提供安全更新以減輕任何可能的風險。