当前位置: 首页 > 科技观察

5G手机还没用上,芯片的漏洞先出来了

时间:2023-03-12 17:56:53 科技观察

5G手机还没用上,芯片漏洞率先冒出来。给消费者。那么,芯片安全漏洞问题将直接对用户的各种隐私和数据造成严重影响。在高通因产能问题芯片交付延迟7个月后,又是一轮危机。五一假期后,海外安全公司CheckPointResearch发现高通调制解调器(MSM)芯片存在漏洞。调制解调器芯片主要负责手机通讯功能。它是具有2G、3G、4G和5G功能的片上系统。系统)。也就是说,用户需要一个调制解调器芯片才能用手机发送短信、打电话和上网。一旦调制解调器芯片出现漏洞,黑客或网络攻击者就可以利用这些漏洞通过Android手机系统进行攻击,注入恶意的隐形代码。.被黑客盯上后,用户的短信、通话记录、通话信息,甚至解锁移动设备上的用户识别模块,存储用户的网络身份验证信息和联系方式。据悉,网络公开数据显示,全球市场上约有40%的手机采用高通芯片。这些手机厂商包括谷歌、三星、小米、OPPO、vivo、一加等手机品牌。这意味着全球近一半的手机用户可能面临隐私泄露、手机被远程监控、冻结、数据丢失等风险。手机芯片漏洞是怎么回事?软件补丁修复后能否轻松化解风险?泄密可能就没那么乐观了,可能根本解决不了。漏洞百出这不是高通第一次出现芯片漏洞。2020年,DEFCON全球黑客大会上的一项研究显示,高通移动芯片存在六个严重漏洞,将影响数万台安卓智能手机和平板电脑。网络安全研究人员还发现,该漏洞主要存在于高通的DSP芯片(数字信号处理器),该芯片负责将语音、视频、GPS定位传感器等服务转换为可计算数据,并控制用户的安卓系统和高通的处理器。硬件之间的实时请求处理。如果DSP存在缺陷,黑客就可以任意采集和访问用户的照片、视频、通话记录、麦克风实时数据、GPS定位信息等。想象一下,一个用户出门的位置信息,以及拍摄的照片和视频,甚至与他人的麦克风对话内容,都可以被远程黑客和网络攻击者清楚地了解。严重时,黑客可能破坏目标手机,远程开启用户麦克风,植入手机完全无法检测的恶意软件,发起拒绝服务攻击,冻结手机,使用手机上的数据电话随意。值得注意的是,高通DSP芯片上存在400多个易受攻击的代码。只要厂商和用户不采取任何干预措施,手机就有可能成为“间谍工具”。但与2020年不同的是,最近一次,高通的漏洞出现在一款调制解调器芯片上。如上所述,调制解调器负责手机的通信功能。比如市面上的手机都在逐步升级到5G手机。手机的5G性能和信号接收功能很大程度上取决于调制解调器芯片的性能。与DSP芯片漏洞类似,黑客通过安卓系统向调制解调器芯片植入恶意代码,网络犯罪分子可以轻松探查厂商最新的5G代码。注入代码的芯片位置不同,受影响的功能也不同。例如,调制解调器芯片主要专注于手机通话功能,访问用户通话记录,监听用户通话,解锁手机SIM卡,超越电信运营商的控制。不管怎样,这些芯片漏洞都会对用户隐私数据安全和财产安全造成很大影响。有人说,芯片公司可以通过发布漏洞补丁,完全防止这些漏洞被网络上的不法分子利用,但实际上,实现起来并不容易。在第三方机构公布该问题或无法解决的芯片漏洞后,高通拒绝置评。相反,它发表声明称,高通正在核实问题,并为OEM制造商提供适当的缓冲措施。没有证据表明这些漏洞正在被利用。当然,高通鼓励用户用补丁更新他们的设备。高通的声明变相承认了这些高危漏洞的存在。事实上,早在第三方攻击机构发现之前,高通早在2020年就注意到了DSP芯片漏洞,并在同年7月开发了破解某些WPA2加密无线网络的补丁,然后在12月再次发布了某个补丁。一些漏洞的补丁。但即使高通发布补丁,效果也不会如愿以偿。引用CheckPoint研究主管YanivBalmas的话说,“这些芯片漏洞导致全球数亿部手机裸奔,修复这些手机是一项不可能完成的任务。”一方面,这些补丁主要针对升级新安卓系统的用户,而老安卓版本的用户则不受保护。StatCounter数据显示,全球约19%的Android手机运行谷歌2018年8月发布的AndroidPie9.0操作系统,超过9%的用户手机运行谷歌2017年12月发布的Android8.1Oreo操作系统。相当一部分安卓手机用户使用的是旧版本。另一方面,高通只是芯片安全危机事件整个链条中的一个环节,还需要OEM厂商也就是手机厂商和谷歌的配合。高通需要先修复芯片和操作硬件上的bug,然后再交付给手机厂商,或者把修复程序交给手机厂商。高通仅完成漏洞修复补丁还不够。手机厂商如何保证贴片集成到正在组装或在市场上流通的手机中,存在很大的不确定性。众所周知,手机厂商更新系统的速度比较慢。比如谷歌在2019年发布Android10稳定版后,大部分用户至少需要一年的时间才能过渡到新的手机系统。如果手机版本太低或者服务政策不同,有的手机甚至无法更新到最新系统。谷歌虽然是手机系统开发商,但不能直接为手机用户更新最新的系统和补丁。更重要的是,芯片的复杂性决定了漏洞无法“治愈”。以DSP芯片为例。DSP芯片就像手机的“黑匣子”。除了芯片制造商之外,其他人很难检测到其工作原理,安全人员也很难对其进行测试。因此,DSP芯片上很可能存在许多成熟的、未知的安全漏洞。同时,DSP芯片承载了现代手机的诸多创新功能,包括手机快充、多媒体功能等,极易被黑客盯上。退一步说,即使用户升级了手机,修复漏洞也解决不了问题。2021年,高通的芯片漏洞出现在调制解调器芯片上。与DSP相比,调制解调器的复杂程度是无法比拟的。它有数千行代码。有理由相信,两三年前的旧代码还会存在。在芯片型号上,黑客可以利用旧代码作为突破口,对手机信息进行攻击和窃取。鉴于解决芯片漏洞越来越像是不可能完成的任务,作为用户,要么转投手机操作系统和芯片自研、生态相对封闭的苹果手机阵营,或提防所有来自未知来源的应用程序下载并安装。某种程度上,安卓手机厂商,包括芯片厂商、手机厂商、操作系统厂商,都应该把用户数据安全放在首位,共同寻找一个能够平衡各方利益的安全解决方案。