易坊好文馆

  1. 首页 > 生活 >

窃听|全球37%智能手机可遭窃听,联发科芯片爆安全漏洞

app 信息化部 工信部 通报 管理局 豆瓣 下架 权限 看吧 超范围


窃听|全球37%智能手机可遭窃听,联发科芯片爆安全漏洞
文章插图

联发科是全球领先的一家芯片研发公司,其研发的系统级芯片(SoC)广泛应用于全球约37%的智能手机和物联网设备中,其中包括小米、OPPO、realme、vivo、索尼等。
11月24日,以色列网络安全公司CheckPoint旗下安全研究团队发布了一篇详细的研究报告,称联发科芯片存在多个安全漏洞,这些漏洞导致攻击者能够在音频处理器的固件中提升权限并执行任意代码,从而能够在用户不知情的情况下实现大规模窃听活动。
CheckPointResearch对音频数字信号处理器(DSP)进行逆向工程后发现,通过将它们与智能手机原始设备制造商(OEM)库中存在的其他漏洞链接起来,可导致Android应用程序的本地权限提升。
CheckPointResearch解释了一种可能的攻击手法,攻击者通过社会工程学等方式在被害者手机上安装流氓应用程序,利用其对Android的AudioManagerAPI的访问权限来针对一个名为AndroidAurisysHAL的专用库(该库配置为与设备上的音频驱动程序进行通信并发送经特殊设计的消息),从而导致执行攻击代码及窃取音频相关信息。
在寻找攻击AndroidHAL的方法时,CheckPointResearch发现联发科出于调试目的实施了几个危险的音频设置。因为它们本不可供非特权用户使用,所以设备制造商也没有费心去正确验证HAL配置文件。也正因此,在他们这个例子中,HAL配置成为了攻击媒介。
他们还有一个针对小米设备上的HAL库的攻击实例,但出于道德,他们不打算分享详细信息。
联发科在2021年第二季度占据了智能手机系统级芯片市场的43%,其处理器被多家知名厂商使用,这意味着如果不对此漏洞加以解决,全球范围内的用户都会面临巨大的风险。
联发科在CheckPointResearch披露漏洞后表示,它已向所有制造商提供了适当的缓解措施,并且补充说它没有发现任何证据表明这些漏洞目前正在被利用。联发科还建议用户在补丁可用时及时更新,并尽可能安装来自GooglePlay等可信应用分发市场的App。
转载请注明出处和本文链接(
全球37%智能手机可遭窃听,联发科芯片爆安全漏洞
【 窃听|全球37%智能手机可遭窃听,联发科芯片爆安全漏洞】

    推荐阅读


    上一篇:设备|全平台通用不受限!这个文件传输工具,比微信、QQ还好用

    下一篇:该所|肥西县市场监督管理局12315智慧网监“零距离”解决消费纠纷