高通公司的新芯片漏洞可能会让黑客监视安卓设备

网络安全研究人员披露了高通公司移动站调制解调器（MSM）中的一个新安全漏洞，该漏洞可能会让攻击者利用底层Android操作系统在未被发现的情况下将恶意代码插入手机。

以色列安全公司Check point的研究人员在今天发布的一份分析报告中说：“如果被利用，该漏洞将允许攻击者将Android操作系统本身作为一个入口点，向手机中注入恶意和不可见的代码，使他们能够访问短信和电话对话音频。”。

堆溢出漏洞，跟踪为CVE-2020-11292，驻留在调制解调器向高级操作系统公开的QMI语音服务API中，恶意应用程序可能会利用该API将其活动隐藏在调制解调器芯片本身操作系统的“下面”，从而使其对设备内置的安全保护不可见。

高通MSM芯片自20世纪90年代开始设计，允许手机连接到蜂窝网络，并允许Android通过高通MSM接口（QMI）连接到芯片的处理器，一种专有协议，支持MSM中的软件组件与设备上的其他外围子系统（如摄像头和指纹扫描仪）之间的通信。

根据Counterpoint公司的研究，目前40%的智能手机，包括谷歌、三星、LG、小米和One Plus的智能手机，都使用高通MSM芯片，但估计有30%的智能手机带有QMI。

研究人员说：“攻击者可能利用此漏洞将恶意代码从Android注入调制解调器，让他们能够访问设备用户的通话记录和短信，并能够收听设备用户的对话。”。“黑客还可以利用该漏洞解锁设备的SIM卡，从而克服服务提供商对其施加的限制。”

Check Point表示，已于2020年10月8日将此事通知高通公司，随后该芯片制造商通知了相关的移动供应商。

“提供支持强大安全和隐私的技术是高通公司的首要任务，”该公司通过电子邮件告诉《黑客新闻》。“高通技术公司已经在2020年12月向原始设备制造商提供了补丁，我们鼓励最终用户在补丁可用时更新他们的设备。”该公司还表示，计划将CVE-2020-11292纳入6月份的安卓公告。

这不是高通公司芯片中第一次发现关键缺陷。2020年8月，Check Point研究人员披露了400多个安全问题—；统称为“阿喀琉斯”—；在其数字信号处理芯片中，使对手能够将手机变成“完美的间谍工具，无需任何用户交互”

Check Point网络研究主管亚尼夫·巴尔马斯（Yaniv Balmas）表示：“蜂窝调制解调器芯片通常被视为网络攻击者的王冠明珠，尤其是高通公司生产的芯片。”。“对高通调制解调器芯片的攻击可能会对全球数亿部手机造成负面影响。”

更新：三星已就该漏洞发表声明，敦促用户在补丁可用后尽快更新设备。

该公司表示：“三星Qualm芯片组的Android设备受到检查点泄露的影响，三星自2021一月起就发布了受影响的三星设备的补丁。”“虽然许多三星设备已经在2021一月开始修补，但大多数三星设备在2021年5月1日或以后安卓安全补丁级别，将被视为受保护的漏洞。”