Check Point发现了这些漏洞,他们表示,要利用这些漏洞,恶意行为者只需说服其目标即可安装简单,没有任何权限的应用程序即可。
Check Point网络研究负责人Yaniv Balmas说,这些漏洞使受影响的智能手机有被接管并用来监视和跟踪其用户的风险,安装并隐藏了恶意软件和其他恶意代码,甚至被完全封锁。
尽管它们已经以负责任的方式向高通披露,并已告知相关供应商并发出了一些警报– CVE-2020-11201,CVE-2020-11202,CVE-2020-11206,CVE-2020-11207,CVE -2020-11208和CVE-2020-11209 。Balmas警告说,问题的严重范围可能需要几个月甚至几年的时间才能解决。
他说:“尽管高通已经解决了这个问题,但这还不是故事的结局。” “数以亿计的电话面临这种安全风险。您可以被监视。您可能会丢失所有数据。我们的研究显示了移动世界中复杂的生态系统。由于每部手机都集成了很长的供应链,因此在手机中发现深层隐藏的问题并非易事,但修复这些问题也并非易事。
“幸运的是,这次我们能够发现这些问题。但是我们认为完全缓解它们将花费数月甚至数年。如果恶意攻击者发现并使用了这些漏洞,那么将有数千万的手机用户在很长一段时间内几乎无法保护自己。”
Balmas补充说:“现在,厂商应将这些补丁集成到制造和市场中的整个电话线中。我们估计,所有供应商都需要一段时间才能将补丁集成到他们的所有手机中。”
他说,DSP漏洞代表了网络犯罪分子的“严重”新攻击前沿,为受影响的设备引入了新的攻击面和薄弱环节。这是因为DSP芯片被高通公司称为“黑匣子”,除高通公司之外的任何人都要审查其设计,功能或代码可能非常复杂。这使他们特别容易受到风险的影响。
Balmas表示,目前,Check Point并不认为发布漏洞的技术细节是负责任的行动,因为使用这些细节创建漏洞的风险很高。
他说:“目前,消费者必须等待相关厂商也实施修复程序。” “ Check Point通过我们的移动防护解决方案为这些漏洞提供了防护。”
Balmas和他的团队在一篇名为DSP Gate的论文中概述了他们对高通公司芯片的研究,该论文在Def Con 2020上发表,由于Covid-19大流行,该论文今年在网上运行,称为Def Con安全模式。
高通发言人表示:“提供支持强大安全性和隐私性的技术是高通公司的首要任务。关于Check Point披露的Qualcomm Compute DSP漏洞,他们进行了认真的工作以验证问题并为OEM提供适当的缓解措施。我们没有证据表明它目前正在被利用。我们鼓励最终用户在补丁可用时更新其设备,并仅从受信任的位置(例如Google Play商店)安装应用程序。”