修復(fù)太難了!高通:驍龍?zhí)幚砥鱀SP存在缺陷 安卓手機(jī)能被輕松控制損壞
對于那些手機(jī)使用了驍龍處理器的用戶來說,高通已經(jīng)證實(shí)了之前曝光的漏洞,而且非常的可怕。
本文引用地址:http://cafeforensic.com/article/202008/416903.htm高通公司已經(jīng)證實(shí)在他們的智能手機(jī)芯片組中發(fā)現(xiàn)了一個(gè)巨大的缺陷,使手機(jī)完全暴露在黑客面前。該漏洞由Check Point安全公司發(fā)現(xiàn),大量Android手機(jī)中的Snapdragon DSP的缺陷會讓黑客竊取數(shù)據(jù),安裝難以被發(fā)現(xiàn)的隱藏間諜軟件,甚至可以徹底將手機(jī)損壞而無法使用。
Check Point在Pwn2Own上公開披露了這一缺陷,揭示了內(nèi)置高通驍龍處理器手機(jī)中的DSP的安全性設(shè)定被輕易繞過,并在代碼中發(fā)現(xiàn)了400處可利用的缺陷。
出于安全考慮,cDSP被授權(quán)給OEM廠商和有限的第三方軟件供應(yīng)商進(jìn)行編程。運(yùn)行在DSP上的代碼由高通公司簽署。安全機(jī)構(gòu)成功演示了Android應(yīng)用程序如何繞過高通公司的簽名并在DSP上執(zhí)行特權(quán)代碼,以及這會導(dǎo)致哪些進(jìn)一步的安全問題。
高通已經(jīng)對該問題進(jìn)行了修補(bǔ),但不幸的是,由于Android的碎片化特性,該修復(fù)方案不太可能到達(dá)大多數(shù)手機(jī)。
"雖然高通已經(jīng)修復(fù)了這個(gè)問題,但遺憾的是,這并不是故事的結(jié)束。"Check Point網(wǎng)絡(luò)研究主管Yaniv Balmas表示,"數(shù)以億計(jì)的手機(jī)都暴露在這種安全風(fēng)險(xiǎn)之下。如果這種漏洞被發(fā)現(xiàn)并被惡意行為者利用,那么在很長一段時(shí)間內(nèi),將有數(shù)千萬手機(jī)用戶幾乎沒有辦法保護(hù)自己。"
幸運(yùn)的是,Check Point還沒有公布DSP-gate的全部細(xì)節(jié),這意味著在黑客開始在外部利用它之前可能還有一段讓廠商逐步提供緊急修復(fù)的緩沖時(shí)間。
評論