骁龙芯片被曝严重漏洞 安卓用户瞬间暴露在危险中
近日,有网络安全人员表示,他们在芯片业巨头高通旗下的骁龙处理器中发现了6个严重的潜在漏洞,这让很多Android设备都暴露在网络攻击的风险中。具体来说,这些漏洞分别为:CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208以及CVE-2020-11209,它们都属于权限提升或者DoS漏洞,攻击者一旦成功掌握就能轻易对目标设备拥有完全控制权。
本文引用地址:http://www.eepw.com.cn/article/202008/416856.htm具体来说,这些漏洞是在骁龙芯片中的Hexagon数字信号处理器里(下称DSP)被发现的。要知道,DSP是负责控制Android用户和骁龙处理器固件之间实时请求的重要组件,它能把例如GPS定位、视频和语音等服务转化为用于计算的数据。据了解,这些DSP组件漏洞可以被黑客用来收集用户的隐私信息,包括GPS定位、实时麦克风数据、通话录音、视频和相片等,同时它还会导致用户在不知情的情况下被植入恶意软件。更重要的是,要做到这些并不难:黑客只需诱骗用户下载和运行一个而已可执行文件就可以,而这夜是大部分网络木马得逞的最佳手段。
从技术手段上说,只要黑客成功得逞,就能在目标设备上创造永久的DOS状态,直到用户将设备恢复原厂设置为止;另外,黑客还能利用DSP内核崩溃来重启目标手机,而目前的手机防毒软件并不会扫描Hexagon的指令集,所以黑客能轻易地将恶意代码隐藏在DSP中。据相关人士透露,高通目前已经开发出了修复补丁,但其他OEM厂商推送该补丁的进度则快慢不一,就连Android的开发方——业内巨头Google也迟迟没有行动。
评论