写点什么

高通骁龙芯片被曝出超 400 个漏洞,三星、小米等手机厂商可能受影响

  • 2020-08-11
  • 本文字数:1275 字

    阅读完需:约 4 分钟

高通骁龙芯片被曝出超400个漏洞,三星、小米等手机厂商可能受影响

近日,以色列安全厂商 Check Point 在官网发表了一篇博客文章,披露高通骁龙芯片存在超过 400 个安全漏洞,这不仅影响到三星、小米、LG 和 OnePlus 等使用该芯片的手机厂商,而且使广大用户面临风险。


据悉,在一项被称为“Achilles”的研究中,Check Point 研究人员对高通的 DSP 芯片进行了广泛的安全检查。经过检测,他们发现高通的 DSP 芯片有超过 400 个安全漏洞。



Check Point 向高通报告了上述发现,高通承认漏洞的存在,并将这些漏洞归为 CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209。


根据 Check Point 的研究,这些漏洞会给手机用户带来严重的安全风险。


第一,无需用户进行任何操作,攻击者就可以将用户的手机变成一个完美的间谍工具。一旦如此,攻击者就能从用户手机中窃取信息,包括照片、视频、通话记录、实时的麦克风数据、GPS 和位置数据等。


第二,攻击者不仅能让用户手机经常地失去反应,而且还可以让存储在手机中的信息永久不可用,包括照片、视频和联系方式等。换句话说,攻击者可以发动有针对性的 DoS 攻击。


第三,恶意软件和其他的恶意代码可能完全隐藏自己的活动,并且不能清除


Check Point 称“决定不公布上述漏洞的全部细节,直到手机厂商有全面的解决方案能减轻可能存在的风险”。


据 Strategy Analytics 的统计显示,在 2019 年全球智能手机 AP(Apps Processor)市场中,高通占有36%的市场份额,排名第一。高通芯片广泛应用于国内外智能手机中,包括谷歌、三星、LG、小米和 OnePlus 等。



一旦安全漏洞被攻击者所利用,后果将不堪设想。


当前,全球有超过30 亿的手机用户,智能手机已经成为我们日常生活中不可分割的重要组成部分。


随着智能手机市场的持续增长,手机厂商竞争不断加剧,它们纷纷在最新的设备上推出新功能、提供新特性以及更好的技术创新。为支持这种持续的创新活动,手机厂商常常依靠第三方平台提供所需的硬件和软件。其中,最常见的第三方解决方案之一是数字信号处理单元( the Digital Signal Processor unit),即通常所说的 DSP 芯片。


根据维基百科,DSP(数字信号处理器)是一种专用于(通常为实时的)数字信号处理的微处理器。有了 DSP,智能手机才能提供一些功能,比如:


  • 充电功能(例如快充);

  • 多媒体影音体验,比如视频、HD 拍摄和先进的 AR 功能;

  • 多样化的音频功能。


简而言之,DSP 是单芯片上的“完整计算机”,并且几乎任何智能手机都至少包含这些芯片之一。单个 SoC 可能包括确保智能手机日常使用的功能,例如图像处理、计算机视觉、与神经网络相关的计算、音频和语音数据。此外,供应商还可以选择利用这些“微型计算机”添加自己的功能,而这些功能将作为专用的应用程序运行在现有框架之上。


虽然 DSP 芯片提供了一种相对经济的解决方案,允许智能手机向用户提供更多功能,并确保有创新性的功能,但是这也伴随一定的成本。


Check Point 写道:“这类芯片引入了新的攻击平面,同时增加了智能手机的弱点。由于将 DSP 芯片作为“黑匣子”进行管理,因此它们更容易遭受风险。因为除了制造商之外,其他任何人都很难审查其设计、代码或功能。”


2020-08-11 14:411523
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 353.7 次阅读, 收获喜欢 1799 次。

关注

评论

发布
暂无评论
发现更多内容

WeTest小程序质量专项方案推出,小程序异常监控内测招募中

WeTest

【有奖征文】第一届 OceanBase 技术征文大赛来啦!

OceanBase 数据库

数据库 开源 征文大赛 oceanbase

年末冲刺!坚持就是胜利,12月日更来啦~

InfoQ写作社区官方

12月日更 热门活动

Istio 实践手册 | 迎接新一代微服务架构

xcbeyond

istio 服务网格 28天写作 12月日更 Istio 实践手册

Linux/CentOS/Ubuntu查看文件内容命令总结

入门小站

Linux

区块链IM社交系统开发,区块链即时通讯直播系统搭建

电微13828808271

智慧社区服务平台搭建,智慧安防社区建设方案

电微13828808271

云原生:详解|容器云平台应用解析

息之

容器安全 容器应用

云原生:Docker实战之容器命令解析(附视频教程)

息之

Docker 视频课 解析

高层与基层思考上的差异与解决办法

光环PMO社群

项目管理

《鱿鱼游戏》中的 AI 是绝对公平的吗?

澳鹏Appen

人工智能 人脸识别

云原生:详解|容器核心技术解析

息之

Docker 镜像 技术优势

浪潮云说直播间-云溪数据库之ClickHouse原理解析今晚开讲

云计算,

科技热点周刊|PHP 基金会成立、Rust 内讧、Amazon Linux 2022 预览版发布

青云技术社区

云计算

如何设置Activity背景颜色与ProgressBar进度条颜色

Changing Lin

12月日更

四步做好Code Review

百度开发者中心

Code Review

架构实战营模块五作业

spark99

架构实战营

官宣!yMatrix 完成A轮融资,打造超融合时序数据库!

YMatrix 超融合数据库

秒过!度目智慧通行让常态化防疫更高效

百度开发者中心

人工智能

使用 @Transactional 时常犯的N种错误

程序猿DD

spring Spring Boot 事务

打造全新批流融合:详解 Apache Flink 1.14.0 发布的 Pulsar Flink Connector

Apache Pulsar

Java 大数据 分布式 云原生 Apache Pulsar

区块链应用食品溯源,为食品安全保驾护航

电微13828808271

[架构实战营] 模块五作业

张祥

架构实战营

如何更快上手使用 OceanBase 社区版?

OceanBase 数据库

数据库 直播 课程 OceanBase 开源

搭建企业级实时数据融合平台难吗?Tapdata + ES + MongoDB 就能搞定

tapdata

社区知识库|常见问答 FAQ 集合第 1 期

Apache Pulsar

Java 开源 Apache Pulsar 代码人生 社区

云原生:详解|K8s核心对象技术

息之

k8s pod service Deployment

【量化】股市技术分析利器之TA-Lib(二)

恒生LIGHT云社区

量化投资 量化

ZEGO 即构科技首发适配鸿蒙系统的 Express SDK 1.0 版本,并正式启动公测!(内附源码)

ZEGO即构

音视频 HarmonyOS 鸿蒙开发 即构科技

大规模 K8s 集群管理经验分享 · 上篇

尔达Erda

程序员 云原生 k8s K8s 多集群管理 经验分享、

贝壳Flutter调试工具-FDB

贝壳大前端技术团队

flutter 调试工具 内存监控

高通骁龙芯片被曝出超400个漏洞,三星、小米等手机厂商可能受影响_安全_万佳_InfoQ精选文章