研究人员发现3项漏洞可让黑客利用Wi-Fi网络劫持搭载高通芯片的Android设备,数百万Android手机可能受影响。
腾讯的Blade Team在本周黑帽黑客技术年会(Black Hat)上披露漏洞,分别是CVE-2019-10539、CVE-2019-10540和CVE-2019-10538。前两者为高通芯片固件上的缓冲溢出漏洞,让黑客得以从外部发送恶意封包开采后,入侵高通芯片中的Wi-Fi单片机(controller)、执行任意程序代码,进而接管移动调制解调器(modem)。CVE-2019-10538则可允许从高通Wi-Fi芯片入侵Android核心。CVE-2019-10538属于高度(High)风险,CVE-2019-10539及CVE-2019-10540则被列为重大(Critical)风险。
为确保Android设备的安全,腾讯研究人员并未公布漏洞细节,但表示完整的攻击链让攻击者在某些情况下,入侵并接管Android设备,包括手机、平板或其他设备。研究人员并将CVE-2019-10540和CVE-2019-10538整合称为QualPwn漏洞。
测试Google Pixel2/Pixel3后,研究人员推论所有搭载Qualcomm Snapdragon 835及845的手机都可能受影响。所幸他们尚未发现有攻击程序可执行完整的开采行为。
Google及高通已经先行获得通报,两者也分别发布修补程序,高通也在6月3日针对设备厂商发布安全公告,要求厂商下载并发布修补程序。