写点什么

高通骁龙芯片被曝出超 400 个漏洞,三星、小米等手机厂商可能受影响

  • 2020 年 8 月 11 日
  • 本文字数:1275 字

    阅读完需:约 4 分钟

高通骁龙芯片被曝出超400个漏洞,三星、小米等手机厂商可能受影响

近日,以色列安全厂商 Check Point 在官网发表了一篇博客文章,披露高通骁龙芯片存在超过 400 个安全漏洞,这不仅影响到三星、小米、LG 和 OnePlus 等使用该芯片的手机厂商,而且使广大用户面临风险。


据悉,在一项被称为“Achilles”的研究中,Check Point 研究人员对高通的 DSP 芯片进行了广泛的安全检查。经过检测,他们发现高通的 DSP 芯片有超过 400 个安全漏洞。



Check Point 向高通报告了上述发现,高通承认漏洞的存在,并将这些漏洞归为 CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209。


根据 Check Point 的研究,这些漏洞会给手机用户带来严重的安全风险。


第一,无需用户进行任何操作,攻击者就可以将用户的手机变成一个完美的间谍工具。一旦如此,攻击者就能从用户手机中窃取信息,包括照片、视频、通话记录、实时的麦克风数据、GPS 和位置数据等。


第二,攻击者不仅能让用户手机经常地失去反应,而且还可以让存储在手机中的信息永久不可用,包括照片、视频和联系方式等。换句话说,攻击者可以发动有针对性的 DoS 攻击。


第三,恶意软件和其他的恶意代码可能完全隐藏自己的活动,并且不能清除


Check Point 称“决定不公布上述漏洞的全部细节,直到手机厂商有全面的解决方案能减轻可能存在的风险”。


据 Strategy Analytics 的统计显示,在 2019 年全球智能手机 AP(Apps Processor)市场中,高通占有36%的市场份额,排名第一。高通芯片广泛应用于国内外智能手机中,包括谷歌、三星、LG、小米和 OnePlus 等。



一旦安全漏洞被攻击者所利用,后果将不堪设想。


当前,全球有超过30 亿的手机用户,智能手机已经成为我们日常生活中不可分割的重要组成部分。


随着智能手机市场的持续增长,手机厂商竞争不断加剧,它们纷纷在最新的设备上推出新功能、提供新特性以及更好的技术创新。为支持这种持续的创新活动,手机厂商常常依靠第三方平台提供所需的硬件和软件。其中,最常见的第三方解决方案之一是数字信号处理单元( the Digital Signal Processor unit),即通常所说的 DSP 芯片。


根据维基百科,DSP(数字信号处理器)是一种专用于(通常为实时的)数字信号处理的微处理器。有了 DSP,智能手机才能提供一些功能,比如:


  • 充电功能(例如快充);

  • 多媒体影音体验,比如视频、HD 拍摄和先进的 AR 功能;

  • 多样化的音频功能。


简而言之,DSP 是单芯片上的“完整计算机”,并且几乎任何智能手机都至少包含这些芯片之一。单个 SoC 可能包括确保智能手机日常使用的功能,例如图像处理、计算机视觉、与神经网络相关的计算、音频和语音数据。此外,供应商还可以选择利用这些“微型计算机”添加自己的功能,而这些功能将作为专用的应用程序运行在现有框架之上。


虽然 DSP 芯片提供了一种相对经济的解决方案,允许智能手机向用户提供更多功能,并确保有创新性的功能,但是这也伴随一定的成本。


Check Point 写道:“这类芯片引入了新的攻击平面,同时增加了智能手机的弱点。由于将 DSP 芯片作为“黑匣子”进行管理,因此它们更容易遭受风险。因为除了制造商之外,其他任何人都很难审查其设计、代码或功能。”


2020 年 8 月 11 日 14:41994
用户头像
万佳 InfoQ编辑

发布了 661 篇内容, 共 274.8 次阅读, 收获喜欢 1738 次。

关注

评论

发布
暂无评论
发现更多内容

前端uni-app框架之实战主要技术栈day_3

黎燃

6月月更

读《Software Systems Architecture》(05)—— The Role of the Software Architect

术子米德

架构师成长笔记

Thread 源码分析

zarmnosaj

6月月更

盲盒系统新品开发,盲盒 APP 酷炫 UI 成品源码开发

WDL22119

盲盒商城 盲盒 盲盒开发 盲盒源码 盲盒H5开发

盘点攻防演练中红队的主要工具(上)

穿过生命散发芬芳

工具 6月月更 攻防演练

读《Software Systems Architecture》(07)—— The Architecture Definition Process

术子米德

架构师成长笔记

读《Software Systems Architecture》(09)—— Identifying and Engaging Stakeholders

术子米德

架构师成长笔记

读《Software Systems Architecture》(10)—— Identifying and Using Scenarios

术子米德

架构师成长笔记

在线文本字符串转十六进制工具

入门小站

工具

Java Core 「7」各种不同类型的锁

Samson

学习笔记 Java core 6月月更

3个月软件测试培训出来后的感悟-写给正在迷茫是否去学软件测试

伤心的辣条

Python 程序员 程序人生 软件测试 自动化测试

读《Software Systems Architecture》(01)—— Introduction

术子米德

架构师成长笔记

flutter系列之:flutter中常用的Stack layout详解

程序那些事

flutter 程序那些事 6月月更

在线JSON转Excel工具

入门小站

工具

【LeetCode】 计算应缴税款总额 Java题解

Albert

LeetCode 6月月更

DDD是个何许人也

卢卡多多

DDD 领域建模 6月月更

Elux-将企业级工程化框架带入小程序开发

hiisea

小程序 taro 前端架构 前端框架 前端工程化

读《Software Systems Architecture》(02)—— Software Architecture Concepts

术子米德

架构师成长笔记

为什么一定要参与开源项目?

源字节1号

开源 软件开发

GetX — Flutter 开发的百宝箱

岛上码农

flutter ios 跨平台 安卓 6月月更

读《Software Systems Architecture》(03)—— Viewpoints and Views

术子米德

架构师成长笔记

【愚公系列】2022年06月 通用职责分配原则(二)-创造者原则

愚公搬代码

6月月更

29岁转行软件测试靠谱吗?一个过来人的心路历程送给迷茫的你

伤心的辣条

Python 程序员 程序人生 软件测试 自动化测试

JS学习笔记之异同点

北洋

Andriod 6月月更

浅谈微服务框架选型

阿泽🧸

微服务 6月月更

读《Software Systems Architecture》(06)—— Introduction to the Software Architecture Process

术子米德

架构师成长笔记

读《Software Systems Architecture》(08)—— Concerns,Principles,and Decisions

术子米德

架构师成长笔记

linux之我常用的20条命令(之一)

入门小站

Linux

【Java Web 系列】Session的工作流程与基本使用

倔强的牛角

Java javaWeb session 6月月更

Maven实用技巧

Nick

Java maven 技巧 pom 6月月更

读《Software Systems Architecture》(04)—— Architectural Perspectives

术子米德

架构师成长笔记

高通骁龙芯片被曝出超400个漏洞,三星、小米等手机厂商可能受影响_安全_万佳_InfoQ精选文章