安全企业Check Point近日披露,高通(Qualcomm)的数字信号处理器(Digital Signal Processor,DSP)含有重大的安全漏洞,将允许黑客窃取设备信息、执行服务阻断攻击,或植入恶意程序,恐将波及超过40%的手机。Check Point准备在本周末举行的DEFCON网络安全会议上,公布研究细节。
DSP为一集成软件与硬件设计的系统单芯片,可用来支持设备上的多种功能,包括充电能力、多媒体经验,或是语音功能等,所有现代化手机都至少含有一个DSP,而高通所开发的Hexagon DSP则被应用在全球超过40%的手机上,包括由Google、三星、LG、小米或OnePlus打造的高端手机。
Check Point安全研究人员Slava Makkaveev表示,他们在Hexagon SDK上发现有许多严重的漏洞,使得不管是高通本身的Hexagon DSP或是嵌入客户自制程序的DSP出现了超过400个潜在的安全漏洞,基本上,Hexagon SDK的漏洞几乎让所有高通的DSP函数库都存在着安全风险。
位于Hexagon SDK上的安全漏洞包括CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208与CVE-2020-11209,它们造成DSP芯片上,出现了超过400种易受攻击的程序代码。
Check Point表示,相关的漏洞与脆弱性将允许黑客在不需用户的交互下,手柄机变成完美的间谍设备,可自手机汲取照片、视频、通话记录、即时麦克风资料、GPS或位置信息;而且黑客还可执行服务阻断攻击,让手机失去能力,而永远无法再访问设备上的资料;或是直接在手机上嵌入无法移除的恶意程序。
Makkaveev则准备在DEFCON会议上展示,如何利用一个Android程序来绕过高通的签章,并于DSP上执行程序代码,以及可能因此而衍生的其它安全问题。
Check Point已将漏洞与技术细节,转交给高通及相关的制造商,Bleeping Computer则取得了高通的回应。高通表示,他们正努力确认该问题并提供适当的缓解措施给制造商,目前并无证据显示相关漏洞已遭到开采,但用户也应在更新程序出炉后尽快部署,且只自可靠的程序市场上下载移动程序。