Qualcomm|高通证实骁龙DSP缺陷可令40%的智能手机暴露在黑客面前
高通公司已经证实在他们的智能手机芯片组中发现了一个巨大的缺陷,使手机完全暴露在黑客面前 。该漏洞由Check Point安全公司发现,大量Android手机中的Snapdragon DSP的缺陷会让黑客窃取数据,安装难以被发现的隐藏间谍软件,甚至可以彻底将手机损坏而无法使用 。
了解更多漏洞细节:
http://techimg88.guangdonglong.com/img.php?https://www.defcon.org/html/defcon-safemode/dc-safemode-speakers.html#Makkaveev
https://blog.checkpoint.com/2020/08/06/achilles-small-chip-big-peril/
Check Point在Pwn2Own上公开披露了这一缺陷,揭示了内置高通骁龙处理器手机中的DSP的安全性设定被轻易绕过,并在代码中发现了400处可利用的缺陷 。
出于安全考虑,cDSP被授权给OEM厂商和有限的第三方软件供应商进行编程 。运行在DSP上的代码由高通公司签署 。安全机构成功演示了Android应用程序如何绕过高通公司的签名并在DSP上执行特权代码,以及这会导致哪些进一步的安全问题 。
文章图片
【Qualcomm|高通证实骁龙DSP缺陷可令40%的智能手机暴露在黑客面前】Hexagon SDK是官方为厂商准备DSP相关代码的方式,其SDK存在严重的bug,导致高通自有和厂商的代码存在上百个隐性漏洞 。事实上,几乎所有基于高通的智能手机所嵌入的DSP可执行库都会因为Hexagon SDK的问题而受到攻击,由此生成和暴露的安全漏洞可被黑客利用 。
该漏洞被称为DSP-gate,允许安装在易受攻击的手机(主要是Android设备)上的任何应用程序接管DSP,然后对设备进行自由控制 。
高通已经对该问题进行了修补,但不幸的是,由于Android的碎片化特性,该修复方案不太可能到达大多数手机 。
"虽然高通已经修复了这个问题,但遗憾的是,这并不是故事的结束 。"Check Point网络研究主管Yaniv Balmas表示,"数以亿计的手机都暴露在这种安全风险之下 。如果这种漏洞被发现并被恶意行为者利用,那么在很长一段时间内,将有数千万手机用户几乎没有办法保护自己 。"
幸运的是,Check Point还没有公布DSP-gate的全部细节,这意味着在黑客开始在外部利用它之前可能还有一段让厂商逐步提供紧急修复的缓冲时间 。
高通在一份声明中表示:"提供支持强大安全和隐私的技术是高通公司的首要任务 。关于Check Point披露的高通计算DSP漏洞,我们努力验证该问题,并向OEM厂商提供适当的缓解措施 。我们没有证据表明该漏洞目前正在被利用 。我们鼓励终端用户在补丁可用时更新他们的设备,并只从受信任的位置(如Google Play Store)安装应用程序 。"
推荐阅读
- Samsung|三星保加利亚网站证实了Galaxy S20 FE和S20 FE 5G机型的存在
- Tesla|马斯克证实:特斯拉美国内华达工厂遭网络攻击
- Qualcomm|毫米波技术如何释放 5G 未来潜力?
- 马斯克证实:特斯拉美国内华达工厂遭到网络攻击
- 骆涛|高通骆涛:推动毫米波技术创新,助力释放5G全部潜能
- Intel|基准测试数据证实了Tiger Lake-U高端移动处理器的睿频与核显速率
- 美臆测中国向南海射“航母杀手”,两国官方均未证实媒体报道内容
- TikTok|外媒:沃尔玛证实将与微软联手收购TikTok
- 高通|高通参展2020服贸会:5G时代为中国企业实现国内国际双循环、全球化发展提供服务
- the|美国会议员:反垄断听证会证实了科技巨头涉及反垄断行为的猜测