谷歌和其他Android製造商試圖在不同程度上保持對硬件和軟件安全的關注。但Check
Point研究公司今天披露的廣泛使用的高通SoC中的一個漏洞尤其令人震驚。理論上,它可能允許惡意應用程序修改高通公司MSM調製解調器芯片的軟件,使其能夠獲得通話和短信歷史記錄,甚至能夠實時錄製對話。
值得慶幸的是,大多數三星手機已經收到了修復該問題的補丁,其餘的也將在下個月進行更新。
Check Point對這個問題的分析是非常技術性的。但用通俗的話來說,在調製解調器的高通接口(QMI)軟件層和調試器服務之間的連接中發現了漏洞,使其能夠動態修改軟件,繞過通常的安全機制。雖然標準的第三方應用程序不具備訪問QMI的安全權限,但如果Android系統更關鍵的方面被破壞,就可以使用這種攻擊。
通過他們發現的漏洞,研究人員確定,一個惡意應用程序可以監聽和記錄正在進行的電話,獲得通話和短信記錄,甚至解鎖SIM卡。Check Point估計,所發現的QMI軟件存在於大約40%的智能手機中,供應商包括三星、谷歌、LG、OnePlus、小米等。
三星很快就這個問題發表聲明,稱 “雖然一些三星設備已經在2021年1月開始打了補丁,但大多數Android安全補丁級別為2021年5月1日或之後的三星設備將被視為受到保護,不受所披露的漏洞影響”。該公司鼓勵機主在補丁出現后儘快安裝。
雖然這次攻擊的方法被廣泛描述,但具體的必要信息在報告中被隱去,以防止任何人輕易複製這個過程。到目前為止,沒有跡象表明這種攻擊方法實際上是在外部被使用。
自從CPR在去年10月向其披露這一問題以來,高通公司已經意識到這一問題,並將其確認為一個高等級的漏洞,將其傳遞給使用其調製解調器的Android設備製造商。在寫這篇文章時,該漏洞大體上還沒有被修復,但據推測,高通和谷歌都在努力將解決方案納入未來的安全補丁中。
高通公司已經就此事發布了聲明,全文如下:
提供支持強大安全和隱私的技術是高通公司的優先事項。我們讚揚來自Check Point的安全研究人員使用行業標準的協調披露做法。高通技術公司已經在2020年12月向OEM廠商提供了修復措施,我們鼓勵終端用戶在補丁可用時更新他們的設備。
該代表接著說,”許多”Android OEM廠商已經向終端用戶發布了相關的安全更新,而且沒有具體證據表明Check Point發現的漏洞被使用。
該漏洞將被納入6月份的Android安全公告中。