近日,以色列安全厂商 Check Point 在官网发表了一篇博客文章,披露高通骁龙芯片存在超过 400 个安全漏洞,这不仅影响到三星、小米、LG 和 OnePlus 等使用该芯片的手机厂商,而且使广大用户面临风险。
据悉,在一项被称为“Achilles”的研究中,Check Point 研究人员对高通的 DSP 芯片进行了广泛的安全检查。经过检测,他们发现高通的 DSP 芯片有超过 400 个安全漏洞。
Check Point 向高通报告了上述发现,高通承认漏洞的存在,并将这些漏洞归为 CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209。
根据 Check Point 的研究,这些漏洞会给手机用户带来严重的安全风险。
第一,无需用户进行任何操作,攻击者就可以将用户的手机变成一个完美的间谍工具。一旦如此,攻击者就能从用户手机中窃取信息,包括照片、视频、通话记录、实时的麦克风数据、GPS 和位置数据等。
第二,攻击者不仅能让用户手机经常地失去反应,而且还可以让存储在手机中的信息永久不可用,包括照片、视频和联系方式等。换句话说,攻击者可以发动有针对性的 DoS 攻击。
第三,恶意软件和其他的恶意代码可能完全隐藏自己的活动,并且不能清除。
Check Point 称“决定不公布上述漏洞的全部细节,直到手机厂商有全面的解决方案能减轻可能存在的风险”。
据 Strategy Analytics 的统计显示,在 2019 年全球智能手机 AP(Apps Processor)市场中,高通占有36%的市场份额,排名第一。高通芯片广泛应用于国内外智能手机中,包括谷歌、三星、LG、小米和 OnePlus 等。
一旦安全漏洞被攻击者所利用,后果将不堪设想。
当前,全球有超过30 亿的手机用户,智能手机已经成为我们日常生活中不可分割的重要组成部分。
随着智能手机市场的持续增长,手机厂商竞争不断加剧,它们纷纷在最新的设备上推出新功能、提供新特性以及更好的技术创新。为支持这种持续的创新活动,手机厂商常常依靠第三方平台提供所需的硬件和软件。其中,最常见的第三方解决方案之一是数字信号处理单元( the Digital Signal Processor unit),即通常所说的 DSP 芯片。
根据维基百科,DSP(数字信号处理器)是一种专用于(通常为实时的)数字信号处理的微处理器。有了 DSP,智能手机才能提供一些功能,比如:
充电功能(例如快充);
多媒体影音体验,比如视频、HD 拍摄和先进的 AR 功能;
多样化的音频功能。
简而言之,DSP 是单芯片上的“完整计算机”,并且几乎任何智能手机都至少包含这些芯片之一。单个 SoC 可能包括确保智能手机日常使用的功能,例如图像处理、计算机视觉、与神经网络相关的计算、音频和语音数据。此外,供应商还可以选择利用这些“微型计算机”添加自己的功能,而这些功能将作为专用的应用程序运行在现有框架之上。
虽然 DSP 芯片提供了一种相对经济的解决方案,允许智能手机向用户提供更多功能,并确保有创新性的功能,但是这也伴随一定的成本。
Check Point 写道:“这类芯片引入了新的攻击平面,同时增加了智能手机的弱点。由于将 DSP 芯片作为“黑匣子”进行管理,因此它们更容易遭受风险。因为除了制造商之外,其他任何人都很难审查其设计、代码或功能。”
评论