最新安全研究顯示,在高通 DSP 晶片中發現到 400 多個漏洞,可能將威脅市場上近 40% 的智慧手機。
發布報告的 Check Point 指出,駭客可以在未經用戶許可的情況下,透過這些漏洞在目標設備上安裝惡意應用程式,並輕易竊取用戶數據、追蹤用戶位置或進行監聽。不僅會影響驍龍的數位訊號處理,此晶片還控制快速充電等功能。駭客將可輕易利用漏洞在操作系統中隱藏惡意代碼,並使其無法刪除,甚至強制關機,觸發後將很難再透過操作手機來解決問題。
當然目前已經這些問題回報給高通,並希望能盡快推出修補程式。高通已將這些漏洞命名為「阿基里斯」(Achilles),並將以下 CVE 分配給這些漏洞進行追蹤:CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209。不過目前 Check Point 還未公布相關技術細節,以及受影響的晶片型號。
報告指出,就算高通已經著手處理,但這遠不是事件的結束,這些漏洞早已深遠的影響整個智慧手機的生態,會有更深層的問題仍隱藏在複雜的供應鏈,且就算高通很快推出解決方案,也不代表品牌商會很快地推送到用戶手中,且依漏洞數量之多,很難保證每個用戶手機都能被修補。
據了解,高通正在緊急進行修復,並積極與 OEM 廠合作,因為部分漏洞真的很嚴重,甚至就算只從受到認證的軟體平台下載 App 都不能保證安全無虞。這將可能會是近期最大的資安事件,後續值得關注。
- Over 400 vulnerabilities on Qualcomm’s Snapdragon chip threaten mobile phones’ usability worldwide
- 1 Billion Android Devices At Data Theft Risk Due to Snapdragon Chip Flaw
- Qualcomm chip vulnerability puts millions of phones at risk
- New study found over 400 vulnerabilities in Qualcomm chips
(首圖來源:高通)
