Check Point的网络安全研究人员发现的该漏洞,去年通知了高通,并于2020年12月对其进行了修补。
据以色列网络安全公司Checkpoint的研究人员称,全球数以百万计的手机受到了普遍存在于高通芯片组中的一个漏洞的影响。
Check Point的Slava Makkaveev周四发表了一篇博客文章,强调了高通移动基站调制解调器接口的一个安全漏洞,"该漏洞可用于控制调制解调器,并动态修补应用程序处理器“。
Makkaveev 写道:"攻击者可以使用这样的漏洞从 Android 向调制解调器中注入恶意代码。这使得攻击者能够访问用户的通话记录和短信,以及收听用户对话的能力"。
“黑客可利用这个漏洞解锁SIM卡,从而克服服务供应商对移动设备的限制。”他解释说,高通移动基站调制解调器接口可使芯片与智能手机内的操作系统通信。
Check Point的报告指出,高通移动基站调制解调器接口可以在目前世界上大约30%的智能手机中找到。幸运的是,该公司在10月份将该漏洞通知了高通,高通随后将其追踪为CVE-2020-11292,并将其标记为“高评级漏洞”。
高通的一位发言人告诉ZDNet,补丁是在2020年秋天发送给智能手机制造商的。
“我们赞扬Check Point的安全研究人员使用行业标准的协同披露做法。高通技术已经在2020年12月向OEM提供了补丁,我们鼓励终端用户在补丁可用时更新他们的设备。”高通发言人补充道。
高通表示,所有制造商都在2020年10月接到了该漏洞的通知,并在2020年12月之前提供了修复程序,因此许多制造商已经向终端用户发布了安全更新。该发言人指出,该漏洞也将出现在6月份的公共Android公告中。
自上世纪90年代以来,该芯片一直用于手机和智能手机,并在多年来不断更新,以支持从2G到3G、4G和现在的5G的过渡。三星、小米、谷歌和One Plus只是利用该芯片的智能手机品牌中的少数几个。
白帽安全公司(WhiteHat Security)负责战略的副总裁塞图·库尔卡尼(Setu Kulkarni)表示,这是困扰手机厂商、高通(Qualcomm)、Android操作系统和Play Store应用程序的“供应链”问题的众多例子之一。
Kulkarni表示:“要让所有这些功能协同工作,就需要在手机、芯片组、操作系统和应用程序之间仔细地同步版本和支持的功能,而这正是漏洞存在的原因。”
虽然高通已经解决了这个问题,Kulkarni补充说,因为android的设备激增给部署补丁带来了可伸缩性的挑战,但终端用户完全无法理解这个问题。
Kulkarni解释道:“哪个客户会理解芯片组的问题?”可能会有人说,这就是为什么苹果正逐渐变成一个封闭的生态系统的原因?通过控制设备、芯片组、操作系统和严格监管的App Store,苹果也许会更有机会在此类事件中保护其用户。等待时间去证明一切吧。(本文出自SCA安全通信联盟,转载请注明出处。)