“致命弱点”漏洞暴露了十亿部Android手机

一家研究公司表示，在智能手机芯片上检测到400个漏洞，有10亿部Android手机有遭受黑客攻击的风险。

这些漏洞统称为“致命弱点”，这些漏洞是在高通公司的Snapdragon芯片中发现的大量代码中发现的，这些代码在几乎所有Android手机中都发现了。

CheckPoint安全公司的研究人员在周五在DEFCON安全模式安全会议上的讲话中说，电话可以变成间谍工具，使他们可以访问照片，视频，位置数据和其他敏感的用户详细信息。黑客只需说服用户就可以安装不需要任何权限的看似良性的应用程序。

黑客可以监视电话交谈，发起拒绝服务攻击或秘密植入恶意代码。

CheckPoint网络研究主管YanivBalmas说：“您可能会受到监视。您可能会丢失所有数据。”“如果恶意行为者发现并使用了此类漏洞，它将发现数百万的手机用户几乎无法长期保护自己。”

CheckPoint已将其调查结果的详细信息分发给Qualcomm和受影响的电话供应商。它没有公开发布详细信息，以免给黑客带来任何好处。

高通公司表示正在解决这些漏洞。发行新的编译器和新的软件开发套件。但是，由电话供应商来为每个装有受影响处理器的型号电话分发补丁。

Balmas说：“对于供应商而言，这意味着他们将需要重新编译他们使用的每个DSP应用程序，对其进行测试并解决可能出现的任何问题。”“然后，他们需要将这些修补程序交付给市场上的所有设备。”

Snapdragon芯片组已成为智能手机，可穿戴设备和汽车系统中受欢迎的组件。它以其速度和性能基准，功率效率，5G支持，图形处理和嵌入式指纹读取能力而受到赞誉。

由于技术规范通常受到制造商的严格保护，因此数字信号处理器没有像其他计算机组件那样受到研究人员对可能存在的缺陷的严格审查。

CheckPoint的研究人员在网上发布的一份报告中说：“虽然DSP芯片提供了一种相对经济的解决方案，使手机能够为最终用户提供更多功能并实现创新功能，但它们的确需要付出一定的成本。”“这些芯片给这些移动设备带来了新的攻击面和弱点。由于将DSP芯片作为“黑匣子”进行管理，因此DSP芯片更容易受到风险的影响，因为制造商以外的任何人都很难审查其设计，功能或代码。”

“我们的研究设法突破了这些限制，我们能够以相对方便的方式非常仔细地查看芯片的内部设计和实现。由于这种研究非常罕见，因此可以解释为什么我们发现了这么多易受攻击的代码段，巴尔马斯说。

Snapdragon片上系统产品可以在Google，三星，小米，LG和OnePlus的领先电话产品中找到。Apple提供了自己的处理器，因此iPhone不受Achilles的影响。

高通公司表示，没有证据表明该漏洞“正在被利用”，但敦促客户“在补丁可用时更新其设备，并仅从受信任的位置（例如GooglePlay商店）安装应用程序”。