由于存在新漏洞 您基于Qualcomm芯片的手機可能會受到威脅

高通Snapdragon芯片中的漏洞可能使全球40%以上的Android設(shè)備面臨風(fēng)險。根據(jù)一份新報告，該漏洞已經(jīng)在Snapdragon的數(shù)字信號處理器(也稱為DSP)中發(fā)現(xiàn)，這可能使其容易受到攻擊。惡意行為者可能將漏洞定位為安裝軟件，該軟件將在高通無處不在的芯片組支持的智能手機上偽裝成良性應(yīng)用程序。三星，谷歌，LG，小米和OnePlus等主要公司的智能手機均采用高通Snapdragon芯片組。

Check Point的安全性研究發(fā)現(xiàn)了該芯片中的漏洞，除了提及其目的之外，還可以用于針對全球目前活躍的40%以上的Android設(shè)備。根據(jù)Google的數(shù)據(jù)，截至去年4月，活躍的Android設(shè)備超過25億個。鑒于自宣布以來已經(jīng)過去了一年，這使目前的局勢更加嚴峻。根據(jù)Check Point的說法，高通公司的Snapdragon漏洞可能會為黑客打開各種流，并使大量Android智能手機面臨，數(shù)據(jù)盜竊和阻塞的風(fēng)險。

該報告解釋說，黑客將需要這些設(shè)備的用戶安裝一個小的，良性的應(yīng)用程序，該應(yīng)用程序?qū)⒛軌蛟L問設(shè)備上的大多數(shù)機密數(shù)據(jù)，例如電話，聯(lián)系人，照片，位置和實時麥克風(fēng)數(shù)據(jù)。這組數(shù)據(jù)可用于監(jiān)視用戶，可能以大規(guī)模的敲詐勒索詐騙告終。存儲在這些設(shè)備上的數(shù)據(jù)也可以在不為用戶所知的情況下以一種秘密的方式被虹吸掉。最后，黑客可能會利用服務(wù)來騷擾智能手機，用戶可能會拒絕這些服務(wù)，并最終在稱為砌磚的過程中失去對設(shè)備的訪問權(quán)限。

高通公司已經(jīng)確認了這些漏洞，并為其分配了CVE號。它還已將該漏洞通知了三星，谷歌等廠商，并開始使用補丁程序。但是由于缺少單個通道，因此將Android更新推送到設(shè)備的方式使供應(yīng)商最終發(fā)布補丁所需的時間可能比黑客利用此漏洞所花費的時間更多。Check Point網(wǎng)絡(luò)研究主管Yaniv Balmas表示：“盡管高通已經(jīng)解決了問題，但這還不是故事的結(jié)局。” 他補充說：“如果惡意行為者發(fā)現(xiàn)并利用了這些漏洞，將有數(shù)千萬的手機用戶在很長一段時間內(nèi)幾乎無法保護自己。”

由于該漏洞集中在芯片組的DSP(由高通公司管理為“黑匣子”)中，因此除高通公司以外的供應(yīng)商或公司可能很難理解其復(fù)雜性，檢查設(shè)計并進行修復(fù)。失敗的嘗試只會加劇問題，使DSP更容易受到潛在風(fēng)險的影響。

另一方面，高通發(fā)言人告訴《福布斯》：“提供強大的安全性和隱私性的技術(shù)是高通的優(yōu)先事項。對于Check Point披露的高通計算機DSP漏洞，我們努力進行了驗證，并采取了適當?shù)木徑獯胧┰荚O(shè)備制造商(OEM)。我們目前沒有證據(jù)表明它已被利用。我們鼓勵最終用戶在補丁可用時更新其設(shè)備，并僅從受信任的位置(例如Google Play商店)安裝應(yīng)用程序。”

高通公司的聲明并未具體說明發(fā)行補丁所需的費用，這只會加劇全球絕大多數(shù)Android設(shè)備用戶的擔(dān)憂。目前，唯一的解決方案是避免訪問具有潛在風(fēng)險的網(wǎng)站，下載未識別和奇怪的內(nèi)容，并等待修復(fù)程序出爐。