網安業者 Check Point Research 發現,聯發科的聲訊處理器韌體存在安全漏洞,惡意應用程式(App)能藉此竊聽,全球恐有 37% 智慧手機受到影響。
The Register、The Hacker News報導,Check Point相信,全球高達37%的智慧手機容易遭此種攻擊,此一安全缺失深藏於智慧手機內部,位於聯發科系統單晶片(SoC)的聲訊處理元件控制碼。
Check Point取得相關零組件,並對驅動數位訊號處理器(DSP)的韌體進行逆向工程,發現諸多問題,能讓惡意的Android軟體升級權限,直接傳送訊息給聲訊DSP韌體。此種低階韌體碼沒有太多安全編碼,記憶體可被複寫,並在接獲訊息時挾持智慧手機。
目前為此,惡意軟體能透過程式語言讓DSP變成隱密的竊聽器,從麥克風擷取聲音流,並祕密運作程式。Check Point安全研究員Slava Makkaveev說,若置之不理,駭客能利用這些弱點竊聽Android用戶的對話,不只如此,硬體裝置商也可濫用安全缺失,進行大規模的竊聽活動。據了解,聯發科最新的天璣(Dimensity)處理器,也在受影響晶片之列。
聯發科表示,不認為有人利用這些漏洞,並已對智慧手機製造商發布修補程式,可以傳送給用戶。聯發科產品安全長Tiger Hsu說,關於Check Point揭露的聲訊DSP弱點,正努力確認問題,並提供所有OEM商恰當的改善措施。他強調,沒有證據顯示有心人士正利用這些漏洞。
(本文由 MoneyDJ新聞 授權轉載;首圖來源:shutterstock)