安全研究团队 Check Point 发现数位讯号处理器(通常称为 DSP晶片)存在大规模安全漏洞。Check Point 在测试的 DSP 晶片中发现了超过 400 个代码漏洞,其表示高通主要营运晶片业务,拥有超过 40% 的手机晶片的市场佔有率,客户包括 Google、Samsung、LG、小米和 OnePlus 等厂商,DSP 漏洞可能有机会手机用户产生严重的影响。
漏洞对手机用户影响:
攻击者无需透过任何用户互动,便可将手机变成完美的间谍工具,从而洩漏手机中的照片、影片、通话记录、实时音频数据、GPS 和定位数据等讯息。
攻击者可令手机持续不反应,导致手机上储存的照片、影片和联繫方式等讯息变得永久不可用。
恶意软件和其他恶意代码的活动可被完全隐藏,并且无法删除。
目前 Check Point 向高通公司披露了这些研究结果(高通方面已确认),同时通知相关厂商并为其提供了相应的 CVE,包括:CVE-202011201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208 和 CVE-2020-11209。 虽然 DSP 晶片提供了一种相对经济的解决方案,支援为手机用户提供更多功能和创新特性,但也有一定的代价。这些晶片为流动设备带来了新的攻击面和漏洞。 DSP 晶片之所以更容易遭到攻击,是因为对除了製造商之外的任何其他人来说,检查DSP 晶片设计、功能或代码都是一件极为複杂的事,因此他们通常将其作为「黑盒子」来管理。
DSP(数位讯号处理器)是一个在晶片上由硬件和软件组成的系统,旨在优化和支援设备的各项使用功能,包括充电功能(例如「快速充电」)、多媒体体验,例如影片、高清捕捉、高级扩增实境功能,以及各种音频功能。简而言之,你可以将其视为一个单晶片电脑,几乎任何现代手机都包含至少一个这样的晶片。一个 SoC(晶片上的软件)可能具有支援日常手机使用的各个功能,例如图像处理、电脑视觉、与神经网络相关的计算、镜头串流、音频和语音数据。此外,手机厂商可以选择性地使用这些「微型电脑」来插入自己的功能,并将这些功能用作为专用应用程式运行在现有框架之上。
