尽管许多人不知道所谓的“数字信号处理器”(DSP)、快充、以及降噪等功能背后的硬件原理,但安全研究人员还是向 Android 设备用户发出了重大安全警告。随着技术的发展,这类具有一套完整功能的单个芯片,可以帮助设备在短时间内充满电、或为《精灵宝可梦 Go》等增强现实游戏提供助力。
然而网络安全公司 Check Point 的研究人员警告称,由于这类芯片已经具有相当广泛的可能性,黑客或可对其功能加以滥用。
在周五的 Defcon 大会上,研究人员 Slava Makkaveev 有望演示如何利用这类“网关芯片”来发动攻击,以获得 Android 设备的控制权限。
据悉,研究人员在被 40% 以上 Android 设备中使用的高通骁龙芯片进行了检查,结果在其中发现了 400 多个漏洞。
基于庞大的设备数量,别有用心的黑客或精心制作一个利用这些漏洞的恶意应用,以绕过常规的安全检查措施,最终获取包括照片、视频、位置信息等在内的敏感数据。
相关漏洞还可能允许恶意应用在人们不知情的状况下打开设备麦克风、录制通话内容,甚至阻止或隐藏 Android 设备上的其它恶意软件。
高通公司已经证实了这些漏洞的存在,并且发布了相应的安全警告。但除非电话制造商即时打上补丁并向终端设备用户推送,此类问题造成的风险将依然存在。
高通在一份声明中称:我们努力地验证了相关问题,并为手机制造商提供了适当的缓解方案,即便目前尚无任何证据表明其正在被黑客利用。
我们鼓励最终用户在补丁可用时及时更新,并且仅通过受信任的来源(比如谷歌官方的 Play 商店)获取内容。
Check Point 研究人员补充道,虽然这批特殊的安全漏洞已经被封堵,但芯片本身已经成为了可被攻击者利用的一个全新的平台、甚至可能成为整套设备中最致命的安全薄弱环节。
数字信号处理器(DSP)已经存在很长一段时间,但安全研究人员并未对其加以太多关注。其中一个阻碍,就是入行的门槛很高。
此外芯片上的技术细节,通常会被制造商自己锁定。闭门造车的大环境,导致安全研究人员难以测试 DSP 芯片的缺陷,从而引发了业内的一些担忧。
Check Point 网络研究负责人 Yaniv Balmas 甚至怀疑,还有许多 DSP 芯片的漏洞没有被发现,因而呼吁更多人加入到有关硬件内部设计和实现方法的安全研究中去。
