通信人家园
标题: DSP!高通芯片惊爆400+漏洞,近半数安卓手机或成完美的间谍工具 [查看完整版帖子] [打印本页]
时间: 2020-8-11 15:48
作者: momo1728
标题: DSP!高通芯片惊爆400+漏洞,近半数安卓手机或成完美的间谍工具
EETOP综合整理
最新安全研究显示,在高通芯片DSP中发现到400 多个漏洞,可能将威胁市场上近40% 的智能手机。这些漏洞影响了包括三星,LG,小米,一加,OPPO,VIVO等几乎所有主流品牌的超过10亿台手机。
发布报告的Check Point 指出,黑客可以在未经用户许可的情况下,透过这些漏洞在目标设备上安装恶意应用程式,并轻易窃取用户数据、追踪用户位置或进行监听。
具体影响如下:
攻击者可以将手机变成一个完美的间谍工具,无需任何用户操作 - 可以从手机中轻易活得包括照片,视频,通话录音,实时语言,GPS和位置数据等隐私信息。
攻击者能够使手机持续无响应,使存储在手机上的所有信息永久无法使用(包括照片、视频、联系方式等)。
黑客将可轻易利用漏洞在操作系统中隐藏恶意代码,并使其无法删除,甚至强制关机,触发后将很难再透过操作手机来解决问题。
这些漏洞不仅会影响骁龙的数字信号处理,还可以控制快速充电等功能。
什么是特权升级攻击?
当然目前已经这些问题汇报给高通,并希望能尽快推出修补程序。高通已将这些漏洞命名为「阿基里斯」(Achilles),并将以下CVE 分配给这些漏洞进行追踪:CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207 、CVE-2020-11208、CVE-2020-11209。不过目前Check Point 还未公布相关技术细节,以及受影响的芯片型号。
基本上,它们似乎易于受到DoS(拒绝服务)或特权升级攻击。
这是一种网络攻击,用于获得对安全范围内系统的未授权访问。一旦进入,攻击者就可以控制目标设备并将其作为间谍工具。他们可以使该设备几乎无用,或者使用恶意软件将他的活动隐藏在手机内,从而无法移动。
DSP成为新的攻击媒介,并且很难修复DSP(数字信号处理器)集成于骁龙SOC芯片之中,以Hexagon命名,目前骁龙865 SOC集成的是Hexagon 698 DSP信号处理器。据悉手机上的DSP主要完成以下任务:
虽然DSP芯片提供了一种相对经济的解决方案,该解决方案允许移动电话为最终用户提供更多功能并启用创新功能,但它们的确需要付出一定的成本。这些芯片为这些移动设备引入了新的攻击面和弱点。由于将DSP芯片作为“黑匣子”进行管理,因此它们更容易遭受风险,因为除制造商之外,其他任何人都很难审查其设计,移动厂商要解决这些问题非常困难,这些问题需要由芯片制造商首先解决。
报告指出,就算高通已经着手处理,但这远不是事件的结束,这些漏洞早已深远的影响整个智能手机的生态,会有更深层的问题仍隐藏在复杂的供应链,且就算高通很快推出解决方案,也不代表品牌商会很快地推送到用户手中,且依漏洞数量之多,很难保证每个用户手机都能被修补。
据了解,高通正在紧急进行修复,并积极与OEM 厂合作,因为部分漏洞真的很严重,甚至就算只从受到认证的软件平台下载App 都不能保证安全无恙。这将可能会是近期最大的网络安全事件,后续值得关注。
附件: 640?wx_fmt=png (2020-8-11 15:47, 173.64 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDUwNjg2fDAzNWI5MjRkfDE3NTM4MjE0MDh8MHww
时间: 2020-8-11 17:09
作者: 云中云
提示: 作者被禁止或删除 内容自动屏蔽
时间: 2020-8-11 17:22
作者: 云中云
提示: 作者被禁止或删除 内容自动屏蔽
时间: 2020-8-11 17:31
作者: 客家人
普通百姓哪有那么多秘密?
时间: 2020-8-11 17:33
作者: 云中云
提示: 作者被禁止或删除 内容自动屏蔽
时间: 2020-8-11 18:09
作者: 饭有引力
嗯,高通不能用。为啥HW还那么想买高通芯片呢?甚至赶紧把专利纠纷了结了,让高通去当说客?
时间: 2020-8-11 18:16
作者: master123
客家人 发表于 2020-8-11 17:31 
普通百姓哪有那么多秘密?
双标啊!
普通老百姓的支付宝,银行卡密码不是秘密?
时间: 2020-8-12 08:39
作者: chenshengqu
客家人 发表于 2020-8-11 17:31
普通百姓哪有那么多秘密?
可以拿到盗刷你的卡
时间: 2020-8-12 10:09
作者: sola1217
最近芯片安全事件频出啊
时间: 2020-8-12 10:35
作者: 周湘
云中云 发表于 2020-8-11 17:22
看看这个,再看看英特尔后门那篇,不用说思科的后门更是众所周知,其他IBM,微软肯定也少不了。
这样的O ...
你以为菊花就没留后门了。。。。。。
时间: 2020-8-12 10:36
作者: 120758285
漏洞是迟早移到手机终端的。熊猫烧香,比特币勒索病毒,迟早会出现在手机上的。漏洞,欧美软件的癌症。
时间: 2020-8-12 11:22
作者: cp01
周湘 发表于 2020-8-12 10:35
你以为菊花就没留后门了。。。。。。
菊花无需后门,直接在线J K.后台太硬!!!
时间: 2020-8-12 12:34
作者: Vortex
本帖最后由 Vortex 于 2020-8-12 12:55 编辑
漏洞不是后门,反而是对付恶心的厂家的利刃,只有一种人讨厌漏洞,就是逼你换机和搞所谓“封闭生态”的厂家,所以别打着所谓“安全”旗号在这里为厂家的QJ用户行为为虎作伥了
时间: 2020-8-12 13:21
作者: 吧啦把喇叭
Vortex 发表于 2020-8-12 12:34
漏洞不是后门,反而是对付恶心的厂家的利刃,只有一种人讨厌漏洞,就是逼你换机和搞所谓“封闭生态”的厂家 ...
不明觉厉,阁下供职哪家良心厂家?
时间: 2020-8-12 13:26
作者: 吧啦把喇叭
周湘 发表于 2020-8-12 10:35
你以为菊花就没留后门了。。。。。。
曝光啊,还留着过中秋?
时间: 2020-8-12 13:35
作者: Vortex
吧啦把喇叭 发表于 2020-8-12 13:21
不明觉厉,阁下供职哪家良心厂家?
说的就是你家251
时间: 2020-8-12 13:36
作者: qkb_75@163.com
影响国家安全,可以直接罚款10亿!
时间: 2020-8-12 14:45
作者: xuqz
客家人 发表于 2020-8-11 17:31
普通百姓哪有那么多秘密?
别人可以刷你的钱
时间: 2020-8-12 14:46
作者: 围剿食尸鬼
曝光了还得用啊,没有替代品
时间: 2020-8-12 14:48
作者: xuqz
后门被发现了,
时间: 2020-8-12 16:53
作者: clnight
云中云 发表于 2020-8-11 17:33
单个数据意义不大,但是大数据意义非凡。甚至影响到国家安全。
对头,国家安全最大!
时间: 2020-8-12 17:15
作者: diaochong
厉害了,能攻击dsp的真不是一般人
时间: 2020-8-12 17:24
作者: 红脸的爷爷
Vortex 发表于 2020-8-12 12:34
漏洞不是后门,反而是对付恶心的厂家的利刃,只有一种人讨厌漏洞,就是逼你换机和搞所谓“封闭生态”的厂家 ...
封闭生态?苹果吗
| 通信人家园 (https://www.txrjy.com/) |
Powered by C114 |
