Check Point發現了這些漏洞,他們表示,要利用這些漏洞,惡意行為者只需說服其目標即可安裝簡單,沒有任何權限的應用程序即可。
Check Point網絡研究負責人Yaniv Balmas說,這些漏洞使受影響的智能手機有被接管并用來監視和跟蹤其用戶的風險,安裝并隱藏了惡意軟件和其他惡意代碼,甚至被完全封鎖。
盡管它們已經以負責任的方式向高通披露,并已告知相關供應商并發出了一些警報– CVE-2020-11201,CVE-2020-11202,CVE-2020-11206,CVE-2020-11207,CVE -2020-11208和CVE-2020-11209 。Balmas警告說,問題的嚴重范圍可能需要幾個月甚至幾年的時間才能解決。
他說:“盡管高通已經解決了這個問題,但這還不是故事的結局。” “數以億計的電話面臨這種安全風險。您可以被監視。您可能會丟失所有數據。我們的研究顯示了移動世界中復雜的生態系統。由于每部手機都集成了很長的供應鏈,因此在手機中發現深層隱藏的問題并非易事,但修復這些問題也并非易事。
“幸運的是,這次我們能夠發現這些問題。但是我們認為完全緩解它們將花費數月甚至數年。如果惡意攻擊者發現并使用了這些漏洞,那么將有數千萬的手機用戶在很長一段時間內幾乎無法保護自己。”
Balmas補充說:“現在,廠商應將這些補丁集成到制造和市場中的整個電話線中。我們估計,所有供應商都需要一段時間才能將補丁集成到他們的所有手機中。”
他說,DSP漏洞代表了網絡犯罪分子的“嚴重”新攻擊前沿,為受影響的設備引入了新的攻擊面和薄弱環節。這是因為DSP芯片被高通公司稱為“黑匣子”,除高通公司之外的任何人都要審查其設計,功能或代碼可能非常復雜。這使他們特別容易受到風險的影響。
Balmas表示,目前,Check Point并不認為發布漏洞的技術細節是負責任的行動,因為使用這些細節創建漏洞的風險很高。
他說:“目前,消費者必須等待相關廠商也實施修復程序。” “ Check Point通過我們的移動防護解決方案為這些漏洞提供了防護。”
Balmas和他的團隊在一篇名為DSP Gate的論文中概述了他們對高通公司芯片的研究,該論文在Def Con 2020上發表,由于Covid-19大流行,該論文今年在網上運行,稱為Def Con安全模式。
高通發言人表示:“提供支持強大安全性和隱私性的技術是高通公司的首要任務。關于Check Point披露的Qualcomm Compute DSP漏洞,他們進行了認真的工作以驗證問題并為OEM提供適當的緩解措施。我們沒有證據表明它目前正在被利用。我們鼓勵最終用戶在補丁可用時更新其設備,并僅從受信任的位置(例如Google Play商店)安裝應用程序。”
