高通驍龍爆安全漏洞 全球40%安卓機面臨駭客攻擊風險

高通公司已經發布了針對其 Snapdragon 晶片中缺陷的修復程式，攻擊者可能會利用該缺陷來監視位置或使手機無反應。

根據 Wired 報導，玩家手中的 Android 設備比想像中更容易受到駭客攻擊，這些駭客可以利用高通公司 Snapdragon 晶片中的400多個系統漏洞將其轉變為間諜工具。

當用戶下載影片或其他內容時，駭客便可以利用驍龍處理晶片的漏洞。駭客甚至可以不需要任何系統權限，就可以安裝惡意App來攻擊使用者。

透過惡意App，駭客可以監視位置並即時監聽音訊，並盜取照片和影片。這些漏洞還可能使手機完全無反應。此外，使用者將有可能難以清除這些惡意程式。

Snapdragon 是所謂的系統單晶片（SoC：System on a Chip），其提供了許多組件，諸如CPU和GPU。其中一項功能稱為數位訊號處理，或稱DSP晶片，可處理多種任務，包括充電功能以及影片、音頻、AR、…等多媒體功能。手機製造商還可以使用DSP運行啟用自定義功能的專用應用程式。

安全公司 Check Point 的研究人員在一份簡短的報告中寫道：「雖然DSP晶片提供了一種相對經濟的解決方案，該解決方案允許智慧手機為使用者提供更多功能並實現創新功能，但它們的確需要付出一定的成本。」，「這些晶片為這些行動設備帶來了新的攻擊面和弱點。DSP晶片被當作『黑匣子』進行管理，因此更容易遭受風險，因為除製造商之外，任何其他人都很難審查其設計，功能或代碼。」。

Check Point 表示，高通已經發布了針對該漏洞的修復程式，但到目前為止，尚未將其嵌入到 Android 操作系統或任何使用 Snapdragon 的 Android 設備中。當我問Google何時可以添加 Qualcomm 補丁時，公司發言人說要與 Qualcomm 核對。而高通則未回覆電子郵件。

Check Point 將保留有關漏洞以及如何利用這些漏洞的技術詳細訊息，直到修復程式進入消費者設備為止。Check Point已將漏洞稱為“致命弱點”。跟踪了400多個不同的錯誤，分別為CVE-2020-11201，CVE-2020-11202，CVE-2020-11206，CVE-2020-11207，CVE-2020-11208和CVE-2020-11209。

高通公司的官員在一份聲明中說：「關於 Check Point 披露的Qualcomm Compute DSP 漏洞，我們進行了認真的工作，以驗證問題並為OEM提供適當的挽救措施。我們沒有證據佐證這些漏洞正被駭客利用。我們鼓勵最終用戶在修補程式可用時盡快更新其設備，並記住從受信任的位置（例如Google Play商店）安裝應用程式。」

Check Point表示，全球約40％的手機都包含 Snapdragon。估計有30億部 Android 設備，這意味著超過10億部手機。在美國市場，約90％的智慧行動設備都內建 Snapdragon 處理晶片。

目前尚沒有太多有用的自救指南來讓消費者參考。只從Play下載應用程式應該會有所幫助，但是Google對應用程式進行審核的記錄顯示，這種方式也是效果有限，因為仍無法有效地識別其內含的的多媒體內容。

消息/圖片來源：Wired