研究人员近日指出,10亿甚至更多的Android手机极易受到黑客攻击,这些黑客可以通过利用高通公司的骁龙系列(Snapdragon)处理器中的400多个漏洞,将其转变为间谍工具。
当手机用户下载高通骁龙处理器渲染的视频或其他内容时,黑客就可以利用这些漏洞,还可以通过安装不需要任何权限的恶意应用程序来攻击手机。
攻击者可以通过植入恶意程序来获取手机的位置并实时收听手机的音频,并盗取手机存储的照片和视频。恶意程序还可能造成手机完全不响应,恶意程序可能会以难以消除的方式在Android操作系统中隐藏。
高通骁龙(Snapdragon)是高度集成的处理芯片,集成了许多组件,例如CPU和图形处理器,以及数字信号处理基带和众多DSP芯片,可处理多种任务,包括充电功能以及视频、音频、增强现实(AR)以及其他多媒体功能。手机制造商还可以使用DSP运行自定义功能的专用应用程序。
新的攻击点
安全公司Check Point的研究人员在一份简短的报告中写道:“虽然DSP芯片提供了一种相对经济的解决方案,该解决方案允许手机为用户提供很多功能并实现创新的功能,但使用它们也需要付出一定的成本。”这些芯片为手机带来了新的攻击面和弱点。DSP芯片被芯片制造商当作“黑匣子”进行管理,因此更容易遭受入侵,因为除芯片制造商之外,任何其他人都很难审查其设计,获取其功能或代码。
Check Point表示,高通其实已经研发了针对这些漏洞的修复程序,但到目前为止,尚未将其集成到Android操作系统或任何使用骁龙处理器的Android手机中。当我们询问Google何时可以在Android系统中添加高通骁龙处理器补丁时,Google发言人表示要与高通进行核对沟通,而芯片制造商未回复电子其邮件询问。
Check Point将保留有关该漏洞以及如何利用这些漏洞的技术详细信息,直到修复程序注入最终用户的手机为止。Check Point将这些漏洞称为“致命弱点”。他们跟踪了400多个不同的错误,分别为CVE--11201,CVE--11202,CVE--11206,CVE--11207,CVE--11208和CVE--11209。
而高通公司的技术人员在一份声明中说:“关于Check Point披露的骁龙处理器DSP漏洞,我们进行了认真的研究,以验证问题并为OEM制造商提供适当的解决措施。我们没有证据表明这些漏洞目前正在被黑客利用。我们鼓励最终用户在补丁可用时更新其手机系统,并仅从受信任的地方(例如Google Play商店)安装应用程序。”
Check Point表示,全球约40%的手机都使用了高通骁龙处理器。市面上估计有30亿部Android手机,这意味着超过10亿部手机存在风险。尤其在美国市场,约90%的手机都嵌入了高通骁龙处理器。
目前没有太多有用的指导意见提供给用户来保护自己免受攻击。手机用户仅从Google Play商店下载应用程序对自身安全也许会有所帮助,但是Google对应用程序进行审核记录显示,Google Play商店的建议效果有限,并没办法有效地识别攻击性的应用和多媒体内容。
