雖然 DSP 晶片為行動用戶帶來更多方便功能,例如:快充、高階 AR 等功能,但也讓行動裝置有了更多安全漏洞。
以色列資安公司 Check Point 研究人員發現,駭客利用高通 數位訊號處理器(Digital Signal Processor;DSP) 晶片中的 400 多個漏洞入侵超過 10 億台 Android 裝置,並將之轉為間諜工具。
根據 WIRED 報導,當使用者下載晶片內提供的影音或其他內容時,駭客就可以利用這個漏洞安裝惡意應用程式,之後就能藉此監視裝置的 GPS 位置、即時監聽周遭音訊,並把照片和音檔外流。不止如此,駭客還可以讓手機無法正常使用,且隱藏在系統中難以清理病毒。
Check Point 研究人員在最新發布的報告中指出,雖然 DSP 晶片為行動用戶帶來更多方便功能,例如:快充、高階 AR 等功能,但也讓行動裝置有了更多安全漏洞。因為 DSP 晶片被當作「黑盒子」(Black Box)一樣來管理,除了製造商之外,其他人難以查看設計、功能或程式碼,因此潛在風險更高。
初步估計,目前全球 4 成手機、約 10 億支手機都採用該晶片。雖然現在高通已經發布針對此安全漏洞的修復程式,但 Check Point 說高通尚未將之整合到 Android 作業系統和採用該晶片的相關裝置上。
外媒曾追問 Google 該如何修復高通 DSP 晶片的安全漏洞,但 Google 發言人只說須與高通確認;而高通則在聲明中說,目前還沒有發現漏洞已經被入侵的案例,而他們已確認問題並為 OEM 業者提供相關措施,也鼓勵使用者之後可以進行系統升級。
Check Point 也追蹤了這 400 多個安全漏洞,包括 CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208 以及 CVE-2020-11209。
《本文作者 Heemie ,原文刊登於合作媒體INSIDE,聯合新聞網獲授權轉載。》
