当您在寻找新的智能手机时,您很可能首先关注价格,设计和功能-可能不是为其提供动力的内部硅材料。然而,研究人员发现,高通公司的Snapdragon芯片是Android手机中使用最广泛的芯片之一,具有数百位易受攻击的代码,使数百万Android用户面临风险。
稍作备份,高通是几家知名技术公司的主要芯片供应商。在2019年,其Snapdragon系列处理器可以在所有Android智能手机中的近40%上找到,其中包括来自Google,三星,小米,LG和OnePlus的高端旗舰手机。网络安全公司Check Point的研究人员发现,高通Snapdragon芯片中的数字信号处理器(DSP)具有400多个易受攻击的代码。这些漏洞(统称为“阿喀琉斯”)可以通过三种主要方式影响手机。
攻击者只需说服某人安装绕过常规安全措施的看似良性的应用即可。一旦完成,攻击者就可以将受影响的手机变成间谍工具。他们将能够访问手机的照片,视频,GPS和位置数据。黑客可能还会在主人不知情的情况下记录电话并打开手机的麦克风。或者,攻击者可以通过将存储在智能手机上的所有数据锁定在研究人员所描述的“目标拒绝服务攻击”中,从而使智能手机完全无法使用。最后,不良行为者还可以利用这些漏洞以受害者不知道且无法删除的方式隐藏恶意软件。
发现这么多漏洞的部分原因是DSP是一种“黑匣子”。除了DSP制造商以外的任何人都很难查看使它们工作的原因。牛逼,因为它使他们难啃的骨头帽子可以被看作是一件好事。相反,这也意味着安全研究人员无法轻松对其进行测试,这意味着它们可能已经成熟了一些未知的安全漏洞。另一方面,DSP实现了我们在智能手机上期望的许多创新功能。其中包括快速充电等功能,以及各种多媒体功能,例如视频,高清捕获和高级增强现实。它使DSP成为超高效且经济的组件,但有可能为黑客控制设备开辟更多途径。
Check Point表示已将调查结果透露给高通,政府官员和受影响的供应商。但是,该公司表示,由于可能仍有数百万台设备处于危险之中,因此不会公开发布Achilles漏洞的细节。据报道,高通公司已经解决了该问题,但这并不意味着您的Android手机会自动安全。手机制造商需要将相关的安全补丁推向他们的客户群,这可能需要一些时间。
高通在给CNET的一份声明中说,它已经“努力研究以验证问题并提供适当的缓解措施”给智能手机制造商。尽管该公司表示尚未发现野外被利用的Achilles漏洞的任何证据,但它建议Android用户在补丁可用后才更新手机,并且只能从官方应用商店中安装经过验证的应用。
我们已与高通公司和主要电话制造商联系,以征求意见,我们将在收到回复后进行更新。而且,如果您知道有关该漏洞或漏洞的处理方式的任何信息,可以给我发送电子邮件到vsong@gizmodo.com或通过SecureDrop匿名联系。