曝高通驍龍芯片被發(fā)現(xiàn)有嚴重漏洞

近日，使用高通芯片的用戶可能暴露在危險之中，有網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，高通旗下的驍龍芯片中有6個嚴重的潛在漏洞，使不少安卓裝置都暴露在危險當中。

這些漏洞的代號分別為CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208以及CVE-2020-11209。它們都屬于DoS或者權(quán)限提升攻擊，攻擊者一旦得手就可以對目標裝置擁有全面控制。

仔細的來說，這些漏洞都是藏于驍龍芯片中的Hexagon數(shù)字信號處理器里(下稱DSP)。DSP是負責控制安卓用戶以及驍龍?zhí)幚砥鞴碳g的實時請求的重要部件，例如將語音、視頻以及諸如GPS定位等的服務(wù)轉(zhuǎn)化為可以用于計算的數(shù)據(jù)。

發(fā)現(xiàn)這些漏洞的網(wǎng)絡(luò)安全機構(gòu)Check Point在其博客表示，DSP中的缺憾可以被不法分子用來收集用戶的相片、視頻、逍話錄音、實時麥完風數(shù)據(jù)以及GPS定位、破壞目標裝置或者在裝置毫不知情的情況下植入惡意軟件。攻擊者只需要誘使用戶下載并且運行一個惡意的可執(zhí)行文件就可以利用這些漏洞。

攻擊者得手后，可以在目標裝置上創(chuàng)造永久的DoS狀態(tài)，直至裝置被回復(fù)出廠設(shè)置;也可以引起DSP內(nèi)核崩潰來重啟手機。Check Point表示，由于手機的防毒軟件是不會掃瞄Hexagon的指令集的，因此不法分子可以把惡意代碼隱藏在DSP其中。

Check Point在今年二月至三月時已經(jīng)向高通報告了這些漏洞，而高通也在7月開發(fā)了一個修復(fù)補丁。目前不知道其他OEM廠商有沒有在這個補丁推送出去，起碼Google是還沒有的。因此Check Point也沒有把這些漏洞的具體技術(shù)細節(jié)公開。