高通這下頭痛了, Check Point 研究員指出高通基頻數據機漏洞可被竊取使用紀錄甚至竊聽、且高通願意補破網但手機商也不一定提供 OTA

2021.05.07 06:24PM

高通自去年雖然整體行動晶片市場被聯發科超車,不過單純就 5G 平台仍占有優勢,但這個消息恐怕要讓高通頭痛了,因為根據 Check Point 的研究人員發現,高通行動平台的數據機有安全漏洞,影響層面將達市場上 30% 的 Android 手機,一旦駭客發現這個漏洞,將可用於竊取通話歷史紀錄、簡訊甚至進行且竊聽。

Check Point 將此漏洞定名為 CVE-2020-11292 ,是存在於高通行動基頻晶片的 QMI ( Qualmm MSM Interface )介面協議, QMI 是作為高通基頻樹紀基的軟體與其他子系統溝通使用;由於此漏洞影響層面相當大, Check Point 選擇不公布進一步的消息避免使駭客更容易進行入侵攻擊;不過在研究的過程 Check Point 研究員還發現一項額外的有趣狀況,即是此漏洞除了可被用以進行資料竊取外,意外地還可以將電信商服務鎖定的設備進行解鎖。

照片中提到了855、00、Qualcomm,包含了電子配件、5 nm製程、台積電、高通公司、7納米

▲高通雖然已經積極與客戶開始修復漏洞,不過對部分已經停止更新的舊設備恐怕還是難以完全遏止這項漏洞

不過高通在收到 Check Point 的通知後,已經即刻了解狀況並提供 Patch 進行修復,並與包括三星、小米等客戶溝通,請合作夥伴盡快推出 Patch ,然而畢竟 OTA 除了設備商以外還要通過許多合作單位的核可,故修補的程度恐怕還沒辦法那麼快,此外不少 Android 手機也不見得持續提供安全性更新,雖然當前還沒有聽到有透過此漏洞進行攻擊的情況,但恐怕接下來會有不少暴露在風險中的設備。

資料來源

0 則回應