近一半的智能手机受高通 Snapdragon 漏洞影响
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
高通Snapdragon的芯片 Digital Signal Processor (DSP) 芯片中被指存在多个漏洞,可导致攻击者在无需用户交互的情况下控制超过40%的智能手机、监控用户并创建能够规避检测的无法删除的恶意软件。
DSP 是片上芯片单元,用于音频信号和数字图像处理、电信、消费者电子产品如电视和移动设备。
尽管DSP 芯片能够增强设备的复杂度并向设备添加新功能和能力,但它们也带来了新的弱点并扩大了设备的攻击面。
数千万设备易遭攻击
Check Point 公司的研究员发现了DSP芯片中存在多个漏洞。易受攻击的 DSP 芯片“几乎见于世界上所有的安卓手机上,包括谷歌、三星、LG、小米、一加等高端手机。”苹果公司的 iPhone 智能手机线并不受影响。
Check Point 公司将研究结果告知高通,后者证实漏洞的存在并告知设备厂商,这些漏洞共获得6个CVE编号:CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208和CVE-2020-11209.
研究人员表示,这些漏洞可导致:
攻击者将手机转变为完美的监控工具,而无需任何用户交互。从手机可提取的信息包括照片、视频、通话记录、实时麦克风数据、GPS和地理位置信息等。
使手机无法做出响应。导致所有存储在手机中的信息永久不可用,包括招聘、视频、通讯录详情等,换句话说造成针对性拒绝服务后果。
使用恶意软件和其它恶意代码隐藏恶意活动,且恶意软件和代码无法删除。
高通修复漏洞
尽管高通已经修复这六个影响高通 Snapdragon DSP 芯片的安全缺陷,但移动厂商仍必须向设备用户执行并交付安全修复方案。由于设备仍易受攻击,因此威胁仍然存在。
研究人员并未发布漏洞技术详情,便于移动厂商开发并交付安全更新,缓解可能存在的任何风险。研究人员表示已将信息同步给政府官员以及相关合作厂商,并和这些利益相关者共享了完整的研究详情。
Check Point 公司指出,并未发现这些漏洞遭利用的证据,并建议用户尽快打补丁,仅从受信任的来源如谷歌应用商店安装应用。
Check Point 公司的网络研究负责人 Yaniv Balmas 表示,“尽管高通已修复该问题,但遗憾的是事情并未结束。数亿台手机易遭该安全风险影响。用户可能遭监控,所有数据均可能丢失。如发现这类漏洞且遭恶意利用,那么在很长时间内数百万手机用户无法保护自身安全。”
Check Point 公司的研究员 Slava Makkaveev 将在 DEF CON 2019 大会上阐述相关研究成果。
推荐阅读
重大漏洞导致高通 QSEE 组件瘫痪,所有安卓和 IoT 设备可遭完全控制
高通移动芯片存在漏洞,安卓手机位置服务受影响
原文链接
https://www.bleepingcomputer.com/news/security/nearly-50-percent-of-all-smartphones-affected-by-qualcomm-snapdragon-bugs/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
近一半的智能手机受高通 Snapdragon 漏洞影响相关推荐
- 全球约30%的智能手机受高通新漏洞影响,打补丁状况不明
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 高通调制解调器组件中存在一个新漏洞,影响全球三成左右的智能手机.该漏洞可导致攻击者访问设备的通话记录和 SMS 历史,甚至可访问音频会话. ...
- 盖瑞特金属探测门受多个严重漏洞影响,可遭篡改
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 盖瑞特 (Garrett) 制造的金属探测门受多个严重漏洞影响.这些漏洞可被用于入侵设备并更改设备配置. 这些金属检测产品和服务遍布欧洲.中东和 ...
- 除了智能手机,高通的5G技术还瞄准了哪些领域?
随着 5G 技术的推进,5G 必定会继 2G.3G 和 4G 之后成为全球生活的主流,或许在更远的时候,5G 将无处不在,进入到各个领域之中,包括汽车,工厂和混合现实眼镜等.但是,从目前的发展来看,这 ...
- 美国高通 Snapdragon Neural Processing Engine SDK (SNPE) 系列 (1):用户自定义层JNI实现
Snapdragon Neural Processing Engine SDK是美国高通公司出品的神经网络处理引擎(SNPE),可运行于搭载了高通Zeroth机器智能平台的820芯片处理器,开发者可以 ...
- 数百万设备受新型 BrakTooth 蓝牙漏洞影响,并非所有厂商均修复
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,安全研究员发布影响蓝牙软件栈的16个漏洞,多家热门厂商的片上系统 (SoC) 都在使用该软件栈.这些漏洞被统称为 "BrakTo ...
- 博通Brocade漏洞影响多家大厂的存储解决方案
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 最近,博通 (Broadcom) 公司表示,其存储网络子公司 Brocade 提供的一些软件受多个漏洞影响,可能影响多家主流厂商的产品. 博通公 ...
- 思科智能交换机受多个严重漏洞影响
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 思科修复了 Cisco Small Business 220 Series Smart Switches 中的多个高危漏洞,它们可导致会话 ...
- 速修复!VMware vCenter Server 所有版本受严重的 RCE 漏洞影响
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 VMware 修复了位于 vCenter Server 中的一个严重漏洞.攻击者可利用该漏洞在服务器上执行任意代码. 该漏洞的编号是 CV ...
- 多款 D-Link 路由器受多个 RCE 漏洞影响
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 智利 Telefónica 公司的两名研究员 Miguel Méndez Zúñiga 和 Pablo Pollanco 最近在 Med ...
最新文章
- 机器学习面试:这25个实用又有深度的问题
- 如何批量给数字前面加半角单引号[转]
- 开源怎么挣钱(转帖收藏)
- 使用Qemu模拟Cortex-A9运行U-boot和Linux
- freerdp 解压安装_Linux下安装FreeRDP,连接windows远程桌面的好软件 | 学步园
- zoj 1372
- (转)ArcObjects SDK(AE)10.1在vs2012安装的方法
- jquery显示与隐藏效果
- 使用 Kubernetes 和 Kubeflow 扩展对象检测
- ai怎么平均排列_一篇AI打麻将的论文,理科生眼中的麻将是这样的
- Python time和datetime模块
- 极客导航 - 建站教程的背景
- 软件系统设计-16-架构文档
- 医学图像加密算法研究_项目笔记
- 背离 - MBA智库百科
- apache服务器的日志文件,apache日志文件在哪
- 小学英语词汇量测试软件好,Test Your Vocabulary:号称是最准的英语词汇量测试网站...
- 倒车与移库-汽车倒车移库技巧
- 网络的专家—防火墙!!转自 百度
- PostgreSQL DBA(49) - Index(SP-GiST)