Check Point發(fā)現(xiàn)了這些漏洞�����,他們表示���,要利用這些漏洞����,惡意行為者只需說(shuō)服其目標(biāo)即可安裝簡(jiǎn)單���,沒(méi)有任何權(quán)限的應(yīng)用程序即可�����。
Check Point網(wǎng)絡(luò)研究負(fù)責(zé)人Yaniv Balmas說(shuō)�����,這些漏洞使受影響的智能手機(jī)有被接管并用來(lái)監(jiān)視和跟蹤其用戶的風(fēng)險(xiǎn),安裝并隱藏了惡意軟件和其他惡意代碼�,甚至被完全封鎖���。
盡管它們已經(jīng)以負(fù)責(zé)任的方式向高通披露����,并已告知相關(guān)供應(yīng)商并發(fā)出了一些警報(bào)– CVE-2020-11201�,CVE-2020-11202�����,CVE-2020-11206,CVE-2020-11207�,CVE -2020-11208和CVE-2020-11209 。Balmas警告說(shuō)����,問(wèn)題的嚴(yán)重范圍可能需要幾個(gè)月甚至幾年的時(shí)間才能解決。
他說(shuō):“盡管高通已經(jīng)解決了這個(gè)問(wèn)題��,但這還不是故事的結(jié)局���! “數(shù)以億計(jì)的電話面臨這種安全風(fēng)險(xiǎn)�����。您可以被監(jiān)視����。您可能會(huì)丟失所有數(shù)據(jù)���。我們的研究顯示了移動(dòng)世界中復(fù)雜的生態(tài)系統(tǒng)�����。由于每部手機(jī)都集成了很長(zhǎng)的供應(yīng)鏈��,因此在手機(jī)中發(fā)現(xiàn)深層隱藏的問(wèn)題并非易事�,但修復(fù)這些問(wèn)題也并非易事���。
“幸運(yùn)的是�,這次我們能夠發(fā)現(xiàn)這些問(wèn)題。但是我們認(rèn)為完全緩解它們將花費(fèi)數(shù)月甚至數(shù)年���。如果惡意攻擊者發(fā)現(xiàn)并使用了這些漏洞�����,那么將有數(shù)千萬(wàn)的手機(jī)用戶在很長(zhǎng)一段時(shí)間內(nèi)幾乎無(wú)法保護(hù)自己��������!
Balmas補(bǔ)充說(shuō):“現(xiàn)在���,廠商應(yīng)將這些補(bǔ)丁集成到制造和市場(chǎng)中的整個(gè)電話線中��。我們估計(jì)���,所有供應(yīng)商都需要一段時(shí)間才能將補(bǔ)丁集成到他們的所有手機(jī)中�����!
他說(shuō)�����,DSP漏洞代表了網(wǎng)絡(luò)犯罪分子的“嚴(yán)重”新攻擊前沿��,為受影響的設(shè)備引入了新的攻擊面和薄弱環(huán)節(jié)��。這是因?yàn)镈SP芯片被高通公司稱為“黑匣子”���,除高通公司之外的任何人都要審查其設(shè)計(jì)�����,功能或代碼可能非常復(fù)雜����。這使他們特別容易受到風(fēng)險(xiǎn)的影響���。
Balmas表示,目前�,Check Point并不認(rèn)為發(fā)布漏洞的技術(shù)細(xì)節(jié)是負(fù)責(zé)任的行動(dòng)����,因?yàn)槭褂眠@些細(xì)節(jié)創(chuàng)建漏洞的風(fēng)險(xiǎn)很高�。
他說(shuō):“目前����,消費(fèi)者必須等待相關(guān)廠商也實(shí)施修復(fù)程序��。” “ Check Point通過(guò)我們的移動(dòng)防護(hù)解決方案為這些漏洞提供了防護(hù)����!
Balmas和他的團(tuán)隊(duì)在一篇名為DSP Gate的論文中概述了他們對(duì)高通公司芯片的研究,該論文在Def Con 2020上發(fā)表����,由于Covid-19大流行��,該論文今年在網(wǎng)上運(yùn)行�,稱為Def Con安全模式�。
高通發(fā)言人表示:“提供支持強(qiáng)大安全性和隱私性的技術(shù)是高通公司的首要任務(wù)����。關(guān)于Check Point披露的Qualcomm Compute DSP漏洞�,他們進(jìn)行了認(rèn)真的工作以驗(yàn)證問(wèn)題并為OEM提供適當(dāng)?shù)木徑獯胧����。我們沒(méi)有證據(jù)表明它目前正在被利用。我們鼓勵(lì)最終用戶在補(bǔ)丁可用時(shí)更新其設(shè)備��,并僅從受信任的位置(例如Google Play商店)安裝應(yīng)用程序���!
