首页 > 传媒 > 关键词 > CheckPoint最新资讯 > 正文

Check Point:小芯片,大风险。

2020-08-17 11:28 · 稿源:站长之家用户投稿

高通芯片存在 400 多个漏洞,严重威胁全球手机的可用性

随着全球手机数量持有数量达到 30 亿 ,手机已经成为每个人日常生活中不可或缺的重要部分。

面对日益增长的手机市场,相关厂商竞相推出新机型、新功能以及新创新技术。为了支持大规模创新,他们通常依靠第三方来提供所需的移动基础架构、硬件甚至软件,其中最常见的一种第三方解决方案是数字信号传感器(通常称为 DSP)。

在被Check Point命名为“阿喀琉斯”研究项目中,安全专家对最大的 DSP 芯片制造商之一高通科技进行了广泛的安全评估。高通主营芯片业务,占有超过 40% 的手机芯片市场份额,客户包括 Google、三星、LG、小米和 OnePlus 等高端手机厂商。

经过一系列缜密测试,Check Point研究人员在 DSP 芯片中发现了超过 400 个代码漏洞,这些漏洞可能对手机用户产生以下影响:

攻击者无需任何用户交互,便可将手机变成完美的间谍工具,从而泄露手机中的照片、视频、通话记录、实时麦克风数据、GPS 和位置数据等信息。

攻击者可让手机持续不响应,导致手机上存储的照片、视频和联系方式等信息变得永久不可用。

恶意软件和其他恶意代码可完全隐藏其活动,并且无法删除。

Check Point已向高通公司披露了这些研究结果(高通方面业已确认),同时通知相关厂商并为其提供了相应的 CVE,包括:CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208 和 CVE-2020-11209。  

重要说明

在手机厂商针对上述潜在风险开发出全面的解决方案之前,Check Point Research 暂不发布这些漏洞的完整技术细节。除了上报相关政府机构外,Check Point还及时通知了共同合作开展此研究的手机厂商,以协助他们提高手机的安全性。完整研究细节已披露给这些利益相关者。

Check Point Research 致力于提高全球技术和产品的安全性,并与任何有合作意向的安全厂商开展合作。为了防患未然,Check Point公司为可能受这些风险影响的组织提供了 20 个 SandBlast Mobile 移动管理设备免费许可,以免他们在发表本研究报告后的 6 个月内受到任何潜在的损害。

什么是 DSP?

DSP(数字信号处理器)是一个由硬件和软件组成的片上系统,旨在优化和支持设备的各项使用功能,包括:

充电功能(比如“快充”)

多媒体体验,比如视频、高清捕获、高级增强现实功能

各种音频功能

简而言之,您可以将其视为一个单芯片计算机,几乎任何现代手机都包含至少一个这样的芯片。

一个 SoC(片上软件)可能具有支持日常手机使用的各个功能,例如图像处理、计算机视觉、与神经网络相关的计算、摄像头流传输、音频和语音数据。此外,手机厂商可以选择性地使用这些“微型计算机”来插入自己的功能,并将这些功能作为专用应用运行在现有框架之上。

新型攻击媒介

虽然 DSP 芯片提供了一种相对经济的解决方案,支持为手机用户提供更多功能和创新特性,但也要求付出的一定的代价。这些芯片为移动设备带来了新的攻击面和漏洞。DSP 芯片之所以更容易遭到攻击,是因为对除了制造商之外的任何其他人来说,检查 DSP 芯片设计、功能或代码都是一件极为复杂的事,因此他们通常将其作为“黑匣子”来管理。

我们的应对之计

Check Point Research 认为,这种生态系统可能对重大漏洞毫无招架之力,一旦遭到攻击,全球数百万用户都会遭殃。而修复这些漏洞需要协调厂商、制造商和经销商进行多次沟通。鉴于此,我们决定对当今最常用的芯片之一高通骁龙进行详细的评估和深入的安全调查。

由于 DSP 芯片具有“黑匣子”性质,手机厂商很难修复漏洞,这些问题需要先由芯片制造商来解决。我们利用有效的研究方法和先进的模糊测试技术克服了这些问题,获得了有关 DSP 芯片内部情况的罕见洞察,进而有效评估了芯片的安全控制,并确定了其薄弱之处。

威胁情报社区的先锋

Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。

Check Point安全专家希望这项研究能够帮助 DSP 芯片生态系统建立更优越、更安全的环境,并为安全社区提供定期检查芯片安全状态的必要知识和工具,从而增强移动设备的安全性。

Check Point Research 具有市场上最高的威胁捕获率,可帮助组织抵御恶意软件、网络钓鱼、中间人攻击和操作系统漏洞利用程序等威胁。同时,我们强烈建议组织使用移动安全解决方案保护移动设备上的公司数据。SandBlast Mobile 可提供实时威胁情报和移动威胁可视性,以防它们对业务造成影响,同时也可针对本文提到的高通漏洞提供全面的保护。


免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 阿里最“佛系”业务:真·交个朋友,KPI是坚决不挣钱

    “我发现淘宝的88VIP新增了网易云音乐的黑胶VIP会员,那真是太划算了,必须开通啊!”8 月 3 日一大早,有网友在淘宝查看会员时意外发现,88VIP会员权益中赫然增加了网易云音乐黑胶VIP权益,兴奋地在微博发帖广而告之。要知道,网易云音乐的黑胶VIP一年会员价就达 158 元。

  • ThinkPad经典小黑鼠标双模升级版开箱及评测

    广告上说,当手掌握住这款鼠标的时候,手掌抬起的高度约为20°,鼠标前接触点切角20°,鼠标后接触点切角33°时,是最符合人手部平放且放松情况下的状态。我说,省省那些无法考证的玄学,只要能让我左手连续用鼠标 30 分钟不酸痛,就算人体工程学设计OK。有我微信的朋友们都知道,我在今年 4 月陪小耗子玩轮滑的时候把我的右手手腕给摔断了。↓ 打完石膏的我虽然半个左撇子的我可以继续使用左手来单手打字,但硬邦邦的固定设备决定

  • 在iQOO电竞夏令营,KPL职业选手面对面带你上王者

    暑假假期可以去做什么?来一场说走就走的旅行?去学习新的知识?还是宅在家里和影视、游戏作伴?无论哪种方式,相信小伙伴们都在以自己最喜欢的方式享受着愉快的假期时光。在 8 月 13 日- 8 月 14 日,iQOO专门举办了一场很酷的活动——iQOO电竞夏令营。这次iQOO将喜欢电竞的“酷客”们集结起来,在iQOO的夏天中给他们带来一份大大的惊喜。首届iQOO夏令营本次夏令营的主题是“电竞”,因此所有活动都围绕电竞展开。iQOO电竞夏令营的第?

  • GeekPwn2020 云靶场挑战赛线上热身赛收官,老牌战队Nu1L位列积分榜榜首

    7 月 17 日,第二届云靶场挑战赛线上热身赛积分榜正式对外公布。老牌战队Nu1L依靠稳定发挥解出 12 题、以总积分 6126 分位列榜首;来自中国科学院信息工程研究所的NeSE战队及美国的DiceGang战队分别位列第二、第三名。(图:第二届云靶场挑战赛线上热身赛前 20 名积分排行榜)本次大赛由GeekPwn携手腾讯安全云鼎实验室联合举办,聚焦提升“云上安全”系数,探索云安全的前沿发展趋势。自报名启动以来,本届热身赛共计吸引了来自海?

  • 增长,是创始人最高KPI!

    ​增长是所有公司都关心的问题,因为它决定了公司的生死存亡,所以这是第一优先级的要务。但是,到底谁应该为增长负责呢?

  • KPL久诚和教练吵架是怎么回事 事件具体经过介绍

    王者荣耀KPL职业联赛DYG战队的选手久诚被爆料在7月15日晚上和自己的教练“DYG丶林”在战队训练室内吵架,但双方对于吵架的原因有着不同的说法,这里我们来看下久诚和教练吵架的具体事件经过。

  • 我在灵隐寺做新媒体:月薪五六千,KPI一切随缘

    4 年前的一个周日,安徽人赵莲贵坐在杭州机场的飞机上,等候起飞。正要关机,微信刷进来一条消息,告知他被杭州灵隐寺文宣部录取,负责新媒体。

  • Blackpink打破了YouTube的24小时观看记录

    BLACKPINK在 26 日发行先行曲《How You Like That》回归乐坛,MV在上线不到 24 小时就打破YouTube纪录,获得 8240 万点阅。这可能是最快达到 1 亿次观看的视频,它在 30 小时内获得了 9400 万次观看,截止发稿时间已经突破 1 亿。

  • SKP回应拒绝外卖员进入:全面实施“定点取餐方式”

    昨日,针对“身着外卖工作服取外卖被拒”一事,北京SKP发布声明回应称,外卖骑手在内的工作人员需要按照规定统一从员工通道进入,各大门为所有顾客专门开放。北京SKP表示,疫情期间,为了做好疫情防控,对SKP及SKP-S餐饮外卖全面实施“定点取餐方式”,即由所有餐厅将打包完整的顾客餐品送至指定位置.各餐饮品牌会第一时间将餐品传递至外卖取餐人员手中,双方当面有效确认顾客餐品的完整度和准确性,以保证顾客餐品安全。

  • 京东深入布局游戏:与王者荣耀KPL达成战略合作

    7月15日,《王者荣耀》世界冠军杯揭幕战正式开战 。当天,京东零售宣布与王者荣耀KPL开展年度战略合作,成为王者荣耀KPL新的合作伙伴。本次京东零售和王者荣耀KPL的战略合作,一方面将聚焦于权

  • 北京SKP回应拒绝外卖员进入一事,一直设有专门等候区

    7 月 11 日,一名微博博主发布视频称,其在进行外卖员职业体验时,身着外卖工作服去北京SKP商场取外卖,被拒之门外,保安称“穿外卖工作服无法进入”。7 月 12 日,北京SKP商场工作人员回应,该商场有固定的外卖取餐模式,为外卖员准备了专门等候区。北京SKP发布声明称,员工与消费者进入商场通道不同,外卖小哥须由员工通道进入。为做好疫情防控,餐饮外卖实施“定点取餐方式”,餐品会由各餐饮品牌送至指定位置。SKP表示,疫情期

  • 少林寺武僧玩抖音,灵隐寺小编KPI随缘…“佛系”新媒体,究竟什么样?

    “不必强求,一切随缘。”6 月 30 日,杭州灵隐寺在其官方公众号上发布了一则招聘新媒体编辑的启事,很快,这则启事的阅读量就冲上 10 万+,成为名副其实的爆款招聘文。

  • 京东零售联合王者荣耀KPL达成战略合作

    今日,京东零售宣布与王者荣耀KPL开展年度战略合作,成为王者荣耀KPL新的合作伙伴,并举行签约仪式。本次京东零售和王者荣耀KPL的战略合作,一方面将聚焦于权益针对赛事本身,另一方面会在活动推广、用户规模、粉丝互动等内容上开展广泛的合作。

  • 北京SKP发布声明:外卖员由员工通道进入 餐品会送至指定位置

    针对日前博主爆料”北京SKP不允许外卖员进入“一事,北京SKP微博发布声明称,疫情期间员工与消费者进入商场通道不同。外卖骑手和各工作人员按规定从员工通道进入,餐品会由各餐饮品牌送至指定位置。

  • 奢饰品商场SKP回应禁止外卖人员进入事件:有专门区域 网络言论太偏激

    日前北京知名的奢饰品商场SKP禁止外卖人员进商场一事上了热搜,网友对SKP的做法及态度表示不满。随后SKP的工作人员解释说,商场一直有专门的外卖等候区,网上的一些话可能太偏激了。事情的起因

  • GeekPwn 2020少年黑客马拉松大赛即将开启 谁将CARRY全场?

    一群高手云集一堂,在限定时间内破解网络安全难题,累了或坐或卧,现场休息,做完当场提交作品,这种备受黑客喜爱的“黑客马拉松”,如果和十几岁的青少年结合会碰撞出怎样的火花?首个少年黑客马拉松大赛来了!继去年发起“青少年特工挑战赛”后,GeekPwn2020 持续打造专属少年的黑客舞台,携手上海青年报联合发起首届“少年黑客马拉松大赛”, 让少年黑客无畏追梦,探索数字世界的奥秘。(图:GeekPwn2019 首届青少年特工挑战赛)本?

  • GeekPwn 2020开启报名,CAAD人脸识别如何突破虚假人脸和口罩双重挑战?

    大火的人脸识别技术,可能从来不会想到口罩在 2020 年竟然给它带来了这么大的阻碍。在全民口罩的趋势下,戴口罩会使人脸识别精度大打折扣,最典型的莫过于手机面部解锁失效。与此同时,人脸识别技术自从问世那天起,就无法绕过虚假的“人脸”对这项技术的安全拷问。AI、口罩、虚假人脸,到底谁是谁的克星?全球首个关注智能生活安全的黑客大赛——GeekPwn,在重磅开启 2020 年度的赛程中,继续加码人和AI的对抗,发起CAAD虚假人脸A

  • 腾讯斥资142亿进行巨额股权激励;杜海涛工作室声明;SKP回应拒绝外卖员进入

    7月10日,腾讯在港交所公告了最新的股权激励计划,拟授予不少于2.97万人2664万的股份。以腾讯最新收盘价计算,人均获奖励股份市值49万港元左右。以532.81港元/股的认购标准计算,腾讯本次股权激励计划或将斥资142亿港元。

  • 小米有品上架超级阅读器inkPad X:10英寸墨水屏 续航45天

    7月7日消息,小米生态链企业上海墨案智能科技有限公司推出了一款超级阅读器inkPad X,目前已经在小米有品开售,价格1699元。此前,这家公司还出品了小米多看电纸书。墨案超级阅读器inkPad X的

  • GeekPwn2020 窃密与反窃密挑战赛启动:隐真与示假兼顾,人防与技防双收

    在特工题材电影中出现过这样的黑科技道具:戒指隐藏摄像、变脸伪装头套、自动识别眼镜、手机遥控汽车、步态识别安全系统……这些神奇的特工装备炫得观众惊叹称赞之余,同样畅想“穿越”未来,沉浸在未来科技生活的美好之中。而随着现代信息技术和硬件设备的迅速发展和广泛应用,手机控制“万物”、各类“超能力”机器人等以往仅出现在影片中的桥段也开始出现在日常生活之中,让百姓在惊讶于科技发展速度之快的同时,也不免个人隐私

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签

热文

  • 3 天
  • 7天