DSP漏洞代表了網(wǎng)絡(luò)犯罪分子的“嚴重”新攻擊前沿

據(jù)外媒報道，高通公司的Snapdragon 數(shù)字信號處理器（DSP）芯片上發(fā)現(xiàn)了400個易受攻擊的代碼段后，這將導致來自Google，LG，OnePlus，三星和小米等公司的智能手機設(shè)備面臨著網(wǎng)絡(luò)犯罪分子的危害，因為該芯片運行在全球40％以上Android手機上。

Check Point發(fā)現(xiàn)了這些漏洞，他們表示，要利用這些漏洞，惡意行為者只需說服其目標即可安裝簡單，沒有任何權(quán)限的應用程序即可。

Check Point網(wǎng)絡(luò)研究負責人Yaniv Balmas說，這些漏洞使受影響的智能手機有被接管并用來監(jiān)視和跟蹤其用戶的風險，安裝并隱藏了惡意軟件和其他惡意代碼，甚至被完全封鎖。

盡管它們已經(jīng)以負責任的方式向高通披露，并已告知相關(guān)供應商并發(fā)出了一些警報– CVE－2020－11201，CVE－2020－11202，CVE－2020－11206，CVE－2020－11207，CVE －2020－11208和CVE－2020－11209 。Balmas警告說，問題的嚴重范圍可能需要幾個月甚至幾年的時間才能解決。

他說：“盡管高通已經(jīng)解決了這個問題，但這還不是故事的結(jié)局?！?“數(shù)以億計的電話面臨這種安全風險。您可以被監(jiān)視。您可能會丟失所有數(shù)據(jù)。我們的研究顯示了移動世界中復雜的生態(tài)系統(tǒng)。由于每部手機都集成了很長的供應鏈，因此在手機中發(fā)現(xiàn)深層隱藏的問題并非易事，但修復這些問題也并非易事。

“幸運的是，這次我們能夠發(fā)現(xiàn)這些問題。但是我們認為完全緩解它們將花費數(shù)月甚至數(shù)年。如果惡意攻擊者發(fā)現(xiàn)并使用了這些漏洞，那么將有數(shù)千萬的手機用戶在很長一段時間內(nèi)幾乎無法保護自己?！?/p>

Balmas補充說：“現(xiàn)在，廠商應將這些補丁集成到制造和市場中的整個電話線中。我們估計，所有供應商都需要一段時間才能將補丁集成到他們的所有手機中?！?/p>

他說，DSP漏洞代表了網(wǎng)絡(luò)犯罪分子的“嚴重”新攻擊前沿，為受影響的設(shè)備引入了新的攻擊面和薄弱環(huán)節(jié)。這是因為DSP芯片被高通公司稱為“黑匣子”，除高通公司之外的任何人都要審查其設(shè)計，功能或代碼可能非常復雜。這使他們特別容易受到風險的影響。

Balmas表示，目前，Check Point并不認為發(fā)布漏洞的技術(shù)細節(jié)是負責任的行動，因為使用這些細節(jié)創(chuàng)建漏洞的風險很高。

他說：“目前，消費者必須等待相關(guān)廠商也實施修復程序?！?“ Check Point通過我們的移動防護解決方案為這些漏洞提供了防護?！?/p>

Balmas和他的團隊在一篇名為DSP Gate的論文中概述了他們對高通公司芯片的研究，該論文在Def Con 2020上發(fā)表，由于Covid－19大流行，該論文今年在網(wǎng)上運行，稱為Def Con安全模式。

高通發(fā)言人表示：“提供支持強大安全性和隱私性的技術(shù)是高通公司的首要任務(wù)。關(guān)于Check Point披露的Qualcomm Compute DSP漏洞，他們進行了認真的工作以驗證問題并為OEM提供適當?shù)木徑獯胧?。我們沒有證據(jù)表明它目前正在被利用。我們鼓勵最終用戶在補丁可用時更新其設(shè)備，并僅從受信任的位置（例如Google Play商店）安裝應用程序?！?br /> 責任編輯：tzh