「加三嘻行動哇 Yipee! 成為好友」
【Facebook、Youtube、Twitter、Instagram、Telegram、Line】
Check Point 近期對數位訊號處理器(Digital Signal Processor,DSP)製造商 Qualcomm 高通公司進行了廣泛的安全評估,從測試的 DSP 晶片中發現了超過 400 個漏洞,Qualcomm 高通在手機晶片市場有高達 40% 市占率,包括 Google、三星、LG、小米和 OnePlus 等高階手機廠商。
DSP 是一個整合了軟體與硬體設計的 SoC 系統單晶片,用來優化和支援裝置的各項使用功能,包括快速充電功能、高解析度拍攝與進階擴增實境等多媒體體驗功能以及音訊功能。幾乎所有現代手機都包含至少一個這樣的晶片,手機廠商可以自由選擇這些「微型電腦」來搭配原有功能,例如影像處理和神經網路相關運算,並將這些功能應用於可相容的框架上。
雖然 DSP 晶片提供了一種相對經濟實惠的解決方案,讓手機使用者擁有更多創新功能,但這些晶片也為行動裝置帶來了可能遭到駭客攻擊的新漏洞。對非製造商的人來說,檢查 DSP 晶片設計、功能或代碼都是一件極其複雜的事,因此他們通常將其作為「黑盒子」來管理,這便是 DSP 晶片的脆弱面所在。
這些DSP晶片漏洞可能對手機使用者產生下列影響:
- 駭客可以將使用者的手機變成完美的間諜工具,在不需使用者的互動下散布手機中的照片、影片、通話記錄、即時麥克風音檔、GPS 和位置資料等資訊。
- 駭客可利用漏洞讓手機呈現無法回應的狀態,導致手機中儲存的照片、影片和聯絡人資訊變得永遠無法使用。
- 在手機中的惡意軟體和其他惡意程式碼可完全隱藏活動軌跡,並且無法被刪除。
Check Point 持續研究確認漏洞來源,維護 DSP 晶片生態系安全
Check Point 立即向高通揭露了此研究結果,並獲得高通方面的確認。高通已通知相關廠商並告知以下漏洞,包括:CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208 和 CVE-2020-11209。在手機廠商針對上述潛在風險開發出全面的解決方案之前,Check Point Research 暫時不發佈這些漏洞的完整技術細節。
由於 DSP 晶片具有「黑盒子」的特性,手機廠商很難修復漏洞,必須由晶片製造商來解決。有鑑於此,才對目前市面上最常用的晶片 Qualcomm Snapdragon 進行詳細的評估與深入調查。 我們利用有效的研究方法和先進的模糊測試技術克服這樣的問題,並獲得了有關 DSP 晶片內部情況的專業洞察,進而有效評估晶片的安全控制、確認其弱點來源。
延伸閱讀:
2020 上半年疫情使網路攻擊大幅竄升,主要惡意軟體種類大揭密
澳洲 ACCC 控訴 Samsung 三星防水廣告誤導消費者,法院審理決定進行獨立測試
研究揭露網路犯罪營運基礎架構,犯罪集團也需要主機代管服務與網路資安防護
惡意程式「BadPower」駭入 USB 快充攻擊,將導致手機自燃
以色列研發 Lamphone 技術,讓間諜能透過燈泡振動竊聽
圖片及資料來源:Check Point Research