据安全研究员称,高通芯片惊现漏洞,全球数百万手机受影响。
本周四,Checkpoint 安全研究员 Slava Makkaveev 发表博客,称高通 MSM(移动调制解调器)接口中的一个漏洞「可用于控制调制解调器」。攻击者可利用该漏洞注入恶意代码,进而攻击安卓用户,获取用户的通话记录和短信记录,还能窃听用户的通话。黑客可以利用该漏洞解锁 SIM 卡,从而逃脱服务提供商在移动设备上设置的限制。
MSM 是高通在 1990 年代初为高端手机设计的芯片,支持 4G LTE 等高级功能。该芯片自 20 世纪 90 年代广泛应用于手机设备中,并一直持续更新,经历了从 2G、3G、4G 到 5G 的过渡。三星、小米、谷歌、一加等手机品牌都使用了该芯片。
MSM 一直是安全研究和网络罪犯的目标,将来或许也是如此。黑客总是试图远程攻击移动设备,如发送 SMS 与设备进行通信,进而控制设备。
安卓通过高通 MSM 接口 (QMI) 与 MSM 芯片处理器进行通信,QMI 是一个专门协议,保证 MSM 中的软件组件与设备上其他外围子系统之间的通信。
Check Point 报告显示,高通 QMI 在全球约 30% 的智能手机中有应用。也就是说,全球约 30% 的智能手机受到这一漏洞的影响。
不过,Check Point 早在去年 10 月就将这一漏洞通知高通,漏洞编号为 CVE-2020-11292。高通将其标注为「高危漏洞」,并通知了相关厂商。
高通表示,2020 年 10 月已向所有制造商告知该漏洞事项,并在当年 12 月提供了修复方案,目前许多制造商已向终端用户发布安全更新。该漏洞还将在今年 6 月的安卓安全公告中发布。
高通发言人表示:「高通已在 2020 年 12 月向 OEM 提供修复方案,我们鼓励终端用户在补丁可用时及时更新设备。」
但漏洞修复需要时间。高通发言人推荐用户联系手机制造商,以确定漏洞是否修复。
参考链接: