5G 手机还没用上,芯片的裂痕先出来了

 公司新闻     |      2021-06-18 11:22

如果说,全球缺芯持续,从汽车企业、手机厂商蔓延到家电行业,打击企业产品的生产进度,带来生产成本提高,间接影响到消费者。那么,芯片安全漏洞问题则将直接对用户的各种隐私和数据造成严重冲击。

高通继因产能问题,芯片延期交货 7 个月以后,又出现新一轮危机。

五一假期后,海外安全公司 Check Point Research 发现高通公司调制解调器(MSM)芯片中的漏洞,调制解调器芯片主要负责手机通信功能,具有 2G、3G、4G、5G 功能的片上系统(单个芯片上集成一个完整体系)。

也就是说,用户用手机发短信、打电话、上网都需要调制解调器芯片,而一旦调制解调器芯片出现漏洞,黑客或者网络攻击者可以通过 Android 手机系统,利用这些漏洞进行攻击,注入恶意、不可见的代码。

当被黑客盯上后,用户的短信、通话记录、通话信息,甚至解锁移动设备上的用户识别模块,存储用户网络身份验证信息以及联系方式。

据悉,网络公开数据显示,全球市场中约 40% 的手机使用高通芯片,这些手机厂商包括谷歌、三星、小米、OPPO、vivo、一加等手机品牌。这意味着,全球近一半的手机用户,有可能面临隐私泄露,手机被远程监视、冻结,数据丢失的风险。

手机芯片漏洞究竟是怎么回事?是否只要通过软件补丁修复后,便可轻而易举解决风险?泄露事件或许没有那么乐观,更可能根本无法解决。

手机芯片漏洞影响范围包括 5G 手机 | 视觉中国

漏洞百出

这不是高通第一次出现芯片漏洞。

2020 年,在 DEFCON 全球黑客大会上一项研究显示,高通公司移动芯片中存在六个严重漏洞,将影响数以万计的 Android 智能手机和平板电脑。网路安全研究人员还发现,漏洞主要是高通的 DSP 芯片(数字信号处理器),DSP 负责将语音、视频、GPS 位置传感器等服务转换为可计算的数据,控制着用户 Android 系统和高通处理器硬件之间的实时请求处理。

DSP 存在缺陷的话,黑客可以任意搜集、访问用户的照片、视频、通话记录,以及麦克风的实时数据、GPS 位置信息等等。

设想一下,一位用户外出所在地点信息,以及拍摄的照片、视频,甚至是和别人用麦克风通话内容,都能被远程的黑客、网络攻击者了解的一清二楚。严重时,黑客可能破坏目标手机,远程打开用户麦克风,植入手机根本无法检测到的恶意软件,发起拒绝服务的攻击,将手机冻结,随意使用手机上的数据。

值得注意的是,高通 DSP 芯片上的易攻击代码多达 400 多个,厂商、用户只要没有任何干预措施,手机就可能变成「间谍工具」。

但最近一次与 2020 年不同,高通的漏洞则出现在了调制解调器芯片上。

如前文所述,调制解调器负责手机的通信功能,打个比方,现在市面上的手机逐渐升级为 5G 手机,手机 5G 性能、接收信号等功能很大程度上取决于调制解调器芯片的性能。

与 DSP 芯片漏洞相同,黑客通过 Android 系统向调制解调器芯片植入恶意代码,网络犯罪分子可以轻松探索厂商最新的 5G 代码。注入代码的芯片位置不同,影响的功能不同。

比如,调制解调器芯片主要侧重于手机通话功能,访问用户呼叫历史,监听用户对话,解锁手机 SIM 卡,逾越电信运营商的管控。

不管怎样这些芯片漏洞都将对用户隐私数据安全、财产安全产生极大影响。有人说,芯片企业通过发布漏洞补丁完全可以避免这些漏洞被网络上的不法犯罪分子所利用,但事实上,执行起来却并不容易。

问题或无解

芯片漏洞被第三方机构公布后,高通拒绝表态,而是发布了一则声明称,高通正在验证问题并为 OEM 厂商提供适当的缓冲措施,目前尚没有证据表明这些漏洞正在被利用,当然,足球比分网,高通鼓励用户更新设备补丁。

高通的声明变相承认了这些高危漏洞的存在。其实,2020 年的 DSP 芯片漏洞早在第三方攻击机构发现前,高通就已注意到,并在同年 7 月份开发了关于破解某些 WPA2 加密的无线网络的补丁,接着在 12 月份,再次发布某些漏洞的补丁程序。

但即便高通发布了补丁程序,效果也不会尽如人意。

引用 Check Point 研究负责人 Yaniv Balmas 的表述,「这些芯片漏洞使得全球数亿台手机裸奔,修复这些手机是不可能实现的任务。」