智能手机的尺寸通常掩盖了它们拥有的功能以及其结构的复杂性。可以说电话来自这个国家或那个国家或制造商,但事实是,不同的零件可以追溯到不同的来源和供应商。当然,所有智能手机都具有许多共同点,而高通的Snapdragon处理器占有最大份额。不幸的是,这也意味着当该特定芯片被发现存在漏洞时,也使全球大多数智能手机处于危险之中。
当然,软件中的错误(尤其是直接控制硬件的错误)并不少见,但是Check Point安全研究人员发现的惊人漏洞数量尤其令人恐惧。它报告了在高通公司的数字信号处理器中发现的不少于400个漏洞,该市场被称为Hexagon DSP,而在所有Snapdragon片上系统中都发现了该漏洞,因此,大多数野生智能手机都发现了该漏洞。
您可能已经谈论了高通的Snapdragon处理器,但是高通称其为Kryo内核的CPU实际上只是在片上系统内部协同工作的众多芯片之一。诸如Spectra图像信号处理器或ISP之类的其他产品则直接处理成像功能。另一方面,数字信号处理器涵盖了许多功能,从充电到音频再到传感器等等。
这就是为什么这份报告涉及400多个漏洞的原因令人十分担忧。Check Point Research解释说,受到感染的DSP可能使黑客能够获取私人信息或将该设备用作间谍工具。通过执行等效的拒绝服务(DoS)攻击,他们甚至可能使电话变得几乎无用。
Check Point已将所有这些漏洞报告给Qualcomm,设备供应商和常规CVE出版物。但是,直到供应商能够(希望很快)开发并推出缓解措施时,才公开漏洞的全部详细信息。
更新:高通公司就此漏洞报告发送了一份正式声明:
支持高安全性和隐私性的提供技术是高通公司的首要任务。关于Check Point披露的Qualcomm Compute DSP漏洞,我们进行了认真的工作以验证问题并为OEM提供适当的缓解措施。我们没有证据表明它目前正在被利用。我们鼓励最终用户在补丁可用时更新其设备,并仅从受信任的位置(例如Google Play商店)安装应用程序。”
