聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

高通Snapdragon的芯片 Digital Signal Processor (DSP) 芯片中被指存在多个漏洞，可导致攻击者在无需用户交互的情况下控制超过40%的智能手机、监控用户并创建能够规避检测的无法删除的恶意软件。

DSP 是片上芯片单元，用于音频信号和数字图像处理、电信、消费者电子产品如电视和移动设备。

尽管DSP 芯片能够增强设备的复杂度并向设备添加新功能和能力，但它们也带来了新的弱点并扩大了设备的攻击面。

数千万设备易遭攻击

Check Point 公司的研究员发现了DSP芯片中存在多个漏洞。易受攻击的 DSP 芯片“几乎见于世界上所有的安卓手机上，包括谷歌、三星、LG、小米、一加等高端手机。”苹果公司的 iPhone 智能手机线并不受影响。

Check Point 公司将研究结果告知高通，后者证实漏洞的存在并告知设备厂商，这些漏洞共获得6个CVE编号：CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208和CVE-2020-11209.

研究人员表示，这些漏洞可导致：

• 攻击者将手机转变为完美的监控工具，而无需任何用户交互。从手机可提取的信息包括照片、视频、通话记录、实时麦克风数据、GPS和地理位置信息等。

• 使手机无法做出响应。导致所有存储在手机中的信息永久不可用，包括招聘、视频、通讯录详情等，换句话说造成针对性拒绝服务后果。

• 使用恶意软件和其它恶意代码隐藏恶意活动，且恶意软件和代码无法删除。

高通修复漏洞

尽管高通已经修复这六个影响高通 Snapdragon DSP 芯片的安全缺陷，但移动厂商仍必须向设备用户执行并交付安全修复方案。由于设备仍易受攻击，因此威胁仍然存在。

研究人员并未发布漏洞技术详情，便于移动厂商开发并交付安全更新，缓解可能存在的任何风险。研究人员表示已将信息同步给政府官员以及相关合作厂商，并和这些利益相关者共享了完整的研究详情。

Check Point 公司指出，并未发现这些漏洞遭利用的证据，并建议用户尽快打补丁，仅从受信任的来源如谷歌应用商店安装应用。

Check Point 公司的网络研究负责人 Yaniv Balmas 表示，“尽管高通已修复该问题，但遗憾的是事情并未结束。数亿台手机易遭该安全风险影响。用户可能遭监控，所有数据均可能丢失。如发现这类漏洞且遭恶意利用，那么在很长时间内数百万手机用户无法保护自身安全。”

Check Point 公司的研究员 Slava Makkaveev 将在 DEF CON 2019 大会上阐述相关研究成果。

推荐阅读

重大漏洞导致高通 QSEE 组件瘫痪，所有安卓和 IoT 设备可遭完全控制

高通移动芯片存在漏洞，安卓手机位置服务受影响

原文链接

https://www.bleepingcomputer.com/news/security/nearly-50-percent-of-all-smartphones-affected-by-qualcomm-snapdragon-bugs/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 吧~