高通Snapdragon芯片中的漏洞可能使全球40%以上的Android设备面临风险。根据一份新报告,该漏洞已经在Snapdragon的数字信号处理器(也称为DSP)中发现,这可能使其容易受到攻击。恶意行为者可能将漏洞定位为安装软件,该软件将在高通无处不在的芯片组支持的智能手机上伪装成良性应用程序。三星,谷歌,LG,小米和OnePlus等主要公司的智能手机均采用高通Snapdragon芯片组。
Check Point的安全性研究发现了该芯片中的漏洞,除了提及其目的之外,还可以用于针对全球目前活跃的40%以上的Android设备。根据Google的数据,截至去年4月,活跃的Android设备超过25亿个。鉴于自宣布以来已经过去了一年,这使目前的局势更加严峻。根据Check Point的说法,高通公司的Snapdragon漏洞可能会为黑客打开各种流,并使大量Android智能手机面临,数据盗窃和阻塞的风险。
该报告解释说,黑客将需要这些设备的用户安装一个小的,良性的应用程序,该应用程序将能够访问设备上的大多数机密数据,例如电话,联系人,照片,位置和实时麦克风数据。这组数据可用于监视用户,可能以大规模的敲诈勒索诈骗告终。存储在这些设备上的数据也可以在不为用户所知的情况下以一种秘密的方式被虹吸掉。最后,黑客可能会利用服务来骚扰智能手机,用户可能会拒绝这些服务,并最终在称为砌砖的过程中失去对设备的访问权限。
高通公司已经确认了这些漏洞,并为其分配了CVE号。它还已将该漏洞通知了三星,谷歌等厂商,并开始使用补丁程序。但是由于缺少单个通道,因此将Android更新推送到设备的方式使供应商最终发布补丁所需的时间可能比黑客利用此漏洞所花费的时间更多。Check Point网络研究主管Yaniv Balmas表示:“尽管高通已经解决了问题,但这还不是故事的结局。” 他补充说:“如果恶意行为者发现并利用了这些漏洞,将有数千万的手机用户在很长一段时间内几乎无法保护自己。”
由于该漏洞集中在芯片组的DSP(由高通公司管理为“黑匣子”)中,因此除高通公司以外的供应商或公司可能很难理解其复杂性,检查设计并进行修复。失败的尝试只会加剧问题,使DSP更容易受到潜在风险的影响。
另一方面,高通发言人告诉《福布斯》:“提供强大的安全性和隐私性的技术是高通的优先事项。对于Check Point披露的高通计算机DSP漏洞,我们努力进行了验证,并采取了适当的缓解措施原始设备制造商(OEM)。我们目前没有证据表明它已被利用。我们鼓励最终用户在补丁可用时更新其设备,并仅从受信任的位置(例如Google Play商店)安装应用程序。”
高通公司的声明并未具体说明发行补丁所需的费用,这只会加剧全球绝大多数Android设备用户的担忧。目前,唯一的解决方案是避免访问具有潜在风险的网站,下载未识别和奇怪的内容,并等待修复程序出炉。