2020年10月9日 星期五

高通驍龍爆安全漏洞 全球40%安卓機面臨駭客攻擊風險

 

高通公司已經發布了針對其 Snapdragon 晶片中缺陷的修復程式,攻擊者可能會利用該缺陷來監視位置或使手機無反應。

Sec_ARS_RTR4YFUM.jpg

根據 Wired 報導,玩家手中的 Android 設備比想像中更容易受到駭客攻擊,這些駭客可以利用高通公司 Snapdragon 晶片中的400多個系統漏洞將其轉變為間諜工具。

當用戶下載影片或其他內容時,駭客便可以利用驍龍處理晶片的漏洞。駭客甚至可以不需要任何系統權限,就可以安裝惡意App來攻擊使用者。

透過惡意App,駭客可以監視位置並即時監聽音訊,並盜取照片和影片。這些漏洞還可能使手機完全無反應。此外,使用者將有可能難以清除這些惡意程式。

Snapdragon 是所謂的系統單晶片(SoC:System on a Chip),其提供了許多組件,諸如CPU和GPU。其中一項功能稱為數位訊號處理,或稱DSP晶片,可處理多種任務,包括充電功能以及影片、音頻、AR、…等多媒體功能。手機製造商還可以使用DSP運行啟用自定義功能的專用應用程式。

安全公司 Check Point 的研究人員在一份簡短的報告中寫道:「雖然DSP晶片提供了一種相對經濟的解決方案,該解決方案允許智慧手機為使用者提供更多功能並實現創新功能,但它們的確需要付出一定的成本。」,「這些晶片為這些行動設備帶來了新的攻擊面和弱點。DSP晶片被當作『黑匣子』進行管理,因此更容易遭受風險,因為除製造商之外,任何其他人都很難審查其設計,功能或代碼。」。

Check Point 表示,高通已經發布了針對該漏洞的修復程式,但到目前為止,尚未將其嵌入到 Android 操作系統或任何使用 Snapdragon 的 Android 設備中。當我問Google何時可以添加 Qualcomm 補丁時,公司發言人說要與 Qualcomm 核對。而高通則未回覆電子郵件。

Check Point 將保留有關漏洞以及如何利用這些漏洞的技術詳細訊息,直到修復程式進入消費者設備為止。Check Point已將漏洞稱為“致命弱點”。跟踪了400多個不同的錯誤,分別為CVE-2020-11201,CVE-2020-11202,CVE-2020-11206,CVE-2020-11207,CVE-2020-11208和CVE-2020-11209。

高通公司的官員在一份聲明中說:「關於 Check Point 披露的Qualcomm Compute DSP 漏洞,我們進行了認真的工作,以驗證問題並為OEM提供適當的挽救措施。我們沒有證據佐證這些漏洞正被駭客利用。我們鼓勵最終用戶在修補程式可用時盡快更新其設備,並記住從受信任的位置(例如Google Play商店)安裝應用程式。」

Check Point表示,全球約40%的手機都包含 Snapdragon。估計有30億部 Android 設備,這意味著超過10億部手機。在美國市場,約90%的智慧行動設備都內建 Snapdragon 處理晶片。

目前尚沒有太多有用的自救指南來讓消費者參考。只從Play下載應用程式應該會有所幫助,但是Google對應用程式進行審核的記錄顯示,這種方式也是效果有限,因為仍無法有效地識別其內含的的多媒體內容。

消息/圖片來源:Wired

沒有留言: