近日,谷歌更新了安卓系统中部分重要安全漏洞问题的修复。然而,据安全软件研究机构CheckPoint一份最新报告显示,高通芯片的DSP上存在400多段易受攻击的代码,如果不及时修复,智能手机可能会变成一种间谍工具,增加被黑客安装恶意软件的风险。
在这项被命名为“阿喀琉斯”(Achilles)的研究中,CheckPoint对高通公司AP(应用处理器)上的DSP芯片进行了深入的安全审查,发现了高通骁龙SoC的Hexagon DSP内隐藏的安全漏洞,并指出它们很容易受到DoS(拒绝服务)或特权升级攻击。
特权升级攻击是一种用于获得对安全范围内的系统进行未授权访问权限的网络攻击。一旦进入,黑客就可以控制目标设备,使其成为间谍工具,或能在不被发现的情况下,在设备中安装恶意软件。
报告中进一步显示,攻击者可以由此获得用户个人数据,包括照片、视频、录音、GPS定位数据、麦克风数据等等。然后,他们只需要诱导用户点击可执行文件,接着就能够获得访问权来利用这些数据。
一旦成功,黑客就可以创建一个永久的拒绝服务攻击来破坏设备,让它变成一块毫无用处的“砖块”。
Check Point认为,DSP有一个类似黑盒子( Black Box )的场景,对非制造商来说,要分析它是非常复杂的一件事。因此,尽管DSP在更低的成本下提供了各种解决方案,但这种复杂性需要供应商、制造商和安全分析师协同工作。
据报道,高通骁龙芯片在安卓市场中占据了近40%的市场份额,而这个问题早在2月份就报告给了高通。高通于6月份发布了相关修复补丁,但甚至在7月底谷歌也没有解决这个漏洞。
