【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

高通骁龙芯片被曝出超 400 个漏洞,三星、小米等手机厂商可能受影响

  • 2020-08-11
  • 本文字数:1275 字

    阅读完需:约 4 分钟

高通骁龙芯片被曝出超400个漏洞,三星、小米等手机厂商可能受影响

近日,以色列安全厂商 Check Point 在官网发表了一篇博客文章,披露高通骁龙芯片存在超过 400 个安全漏洞,这不仅影响到三星、小米、LG 和 OnePlus 等使用该芯片的手机厂商,而且使广大用户面临风险。


据悉,在一项被称为“Achilles”的研究中,Check Point 研究人员对高通的 DSP 芯片进行了广泛的安全检查。经过检测,他们发现高通的 DSP 芯片有超过 400 个安全漏洞。



Check Point 向高通报告了上述发现,高通承认漏洞的存在,并将这些漏洞归为 CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209。


根据 Check Point 的研究,这些漏洞会给手机用户带来严重的安全风险。


第一,无需用户进行任何操作,攻击者就可以将用户的手机变成一个完美的间谍工具。一旦如此,攻击者就能从用户手机中窃取信息,包括照片、视频、通话记录、实时的麦克风数据、GPS 和位置数据等。


第二,攻击者不仅能让用户手机经常地失去反应,而且还可以让存储在手机中的信息永久不可用,包括照片、视频和联系方式等。换句话说,攻击者可以发动有针对性的 DoS 攻击。


第三,恶意软件和其他的恶意代码可能完全隐藏自己的活动,并且不能清除


Check Point 称“决定不公布上述漏洞的全部细节,直到手机厂商有全面的解决方案能减轻可能存在的风险”。


据 Strategy Analytics 的统计显示,在 2019 年全球智能手机 AP(Apps Processor)市场中,高通占有36%的市场份额,排名第一。高通芯片广泛应用于国内外智能手机中,包括谷歌、三星、LG、小米和 OnePlus 等。



一旦安全漏洞被攻击者所利用,后果将不堪设想。


当前,全球有超过30 亿的手机用户,智能手机已经成为我们日常生活中不可分割的重要组成部分。


随着智能手机市场的持续增长,手机厂商竞争不断加剧,它们纷纷在最新的设备上推出新功能、提供新特性以及更好的技术创新。为支持这种持续的创新活动,手机厂商常常依靠第三方平台提供所需的硬件和软件。其中,最常见的第三方解决方案之一是数字信号处理单元( the Digital Signal Processor unit),即通常所说的 DSP 芯片。


根据维基百科,DSP(数字信号处理器)是一种专用于(通常为实时的)数字信号处理的微处理器。有了 DSP,智能手机才能提供一些功能,比如:


  • 充电功能(例如快充);

  • 多媒体影音体验,比如视频、HD 拍摄和先进的 AR 功能;

  • 多样化的音频功能。


简而言之,DSP 是单芯片上的“完整计算机”,并且几乎任何智能手机都至少包含这些芯片之一。单个 SoC 可能包括确保智能手机日常使用的功能,例如图像处理、计算机视觉、与神经网络相关的计算、音频和语音数据。此外,供应商还可以选择利用这些“微型计算机”添加自己的功能,而这些功能将作为专用的应用程序运行在现有框架之上。


虽然 DSP 芯片提供了一种相对经济的解决方案,允许智能手机向用户提供更多功能,并确保有创新性的功能,但是这也伴随一定的成本。


Check Point 写道:“这类芯片引入了新的攻击平面,同时增加了智能手机的弱点。由于将 DSP 芯片作为“黑匣子”进行管理,因此它们更容易遭受风险。因为除了制造商之外,其他任何人都很难审查其设计、代码或功能。”


公众号推荐:

2024 年 1 月,InfoQ 研究中心重磅发布《大语言模型综合能力测评报告 2024》,揭示了 10 个大模型在语义理解、文学创作、知识问答等领域的卓越表现。ChatGPT-4、文心一言等领先模型在编程、逻辑推理等方面展现出惊人的进步,预示着大模型将在 2024 年迎来更广泛的应用和创新。关注公众号「AI 前线」,回复「大模型报告」免费获取电子版研究报告。

AI 前线公众号
2020-08-11 14:411237
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 333.5 次阅读, 收获喜欢 1794 次。

关注

评论

发布
暂无评论
发现更多内容

运维日志审计是什么意思?用什么工具好?

行云管家

信息安全 堡垒机 日志审计 运维日志 安全事故

奥哲以完善的低代码产品矩阵,为泛行业企业客户数字化赋能

海比研究院

linux服务器网络编程之线程模型

Linux服务器开发

reactor 线程模型 Linux服务器开发 Linux网络编程 服务器模型

马士兵老师亲自总结3000+道Java面试题,刷完吊打架构师面试官

Java架构追梦

Java 架构 面试 java架构师

SphereEx 登陆 ApacheCon Asia|依托 ShardingSphere 可插拔架构体系打造数据应用完整生态

SphereEx

数据库 开源

一周信创舆情观察(8.2~8.8)

统小信uos

你敢信?清华毕业大佬用了一个坦克大战项目就讲完了23种设计模式

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

极客星球|基于加权DBSCAN的工作地居住地计算方法

MobTech袤博科技

国家电网调控人工智能创新大赛开启 百度飞桨提供国产AI平台

百度大脑

人工智能 飞桨

老弟做了个网盘,炸了!

程序员鱼皮

Java c++ 系统设计 后端

SphereEx 创始人张亮云咖访谈回顾:构建数据服务的新思路

SphereEx

数据库 开源

牛啊!长这么大还是头一次见24W字的SpringBoot从入门到实战文档

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

数据应用的变与不变,ShardingSphere 正在影响未来数字体验的建设理念

SphereEx

数据库 开源

25岁阿里120W年薪架构师推荐学习的750页微服务架构深度解析文档

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

疫情闭关期间,读完这些“Java技术栈”,拿下阿里Offer没问题

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

拒绝焦虑!Alibaba巨擎随手甩来的一本Java性能优化让我收获满满

Java 编程 架构 面试 阿里

微步在线TDP:拯救被IDS折磨的安全人员

WorkPlus

工业互联网+VR,打破企业发展局限

一只数据鲸鱼

数据可视化 工业4.0 vr 数字孪生 虚拟仿真

🏆【SpringBoot 技术专题】「Tomcat技术专区」用正确的姿势如何用外置tomcat配置及运行(Tomcat优化分析)

洛神灬殇

tomcat springboot 8月日更

北鲲云告诉你足够的存储空间在高性能计算有多重要

北鲲云

别慌!阿里专家破SpringBoot:入门+基础+进阶+项目

Java spring 程序员 架构 面试

云太多了怎么管?你需要一个中立开放的云管平台

WorkPlus

融云为WICC2021“新视界”带来视频压缩技术新探索

融云 RongCloud

Linux云计算-MySQL-表操作-索引-外键-视图

学神来啦

MySQL 数据库 Linux 运维

搞深度学习框架的那帮人,不是疯子,就是骗子

博文视点Broadview

开源应用中心 | 快来一键体验,这款仅有400KB的开源博客程序!

开源

ClickPaaS:SaaS2.0下打造极致的PaaS能力

海比研究院

抢占风口,赢得先机——中国PaaS市场风口深度分析

海比研究院

基于 Web 端的屏幕共享实践

ZEGO即构

大前端 音视频 web端屏幕共享

七面阿里淘宝,工程项目经验为0,所以被死磕Java,最终拿p7职级

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

美国黑帽网络安全大会:移动平台和开源软件正在成为网络安全关键威胁

WorkPlus

高通骁龙芯片被曝出超400个漏洞,三星、小米等手机厂商可能受影响_安全_万佳_InfoQ精选文章