著名的安全公司 Check Point 的最新研究發(fā)現(xiàn)：高通公司的驍龍芯片的數(shù)字信號(hào)處理器（DSP）芯片中存在 400 多個(gè)漏洞，如果被利用，黑客可能會(huì)控制超過四成的智能手機(jī)。通過利用這些漏洞，黑客可以通過智能手機(jī)監(jiān)視用戶，使用戶的手機(jī)不響應(yīng)，并制造出無法移除、且能逃過殺毒軟件檢測(cè)的惡意軟件。

Check Point 在今年二、三月時(shí)已經(jīng)向高通報(bào)告了這些漏洞，而高通也在七月開發(fā)了修復(fù)補(bǔ)丁。在?OEM 廠商把補(bǔ)丁推送出之前，Check Point 沒有公開這些漏洞的具體技術(shù)細(xì)節(jié)。

DSP 是用于許多消費(fèi)類設(shè)備（包括電視和智能手機(jī)）中的音頻信號(hào)和數(shù)字圖像處理。雖然 DSP 芯片為使用的設(shè)備帶來了許多新功能，但它們也引入了新的弱點(diǎn)并擴(kuò)大了設(shè)備的被攻擊的機(jī)會(huì)。 Check Point 發(fā)現(xiàn)的漏洞具在幾乎所有的安卓智能手機(jī)中都能找到，包括來自谷歌、三星、小米、OPPO、vivo、一加和其他廠商的手機(jī)。

Check Point 向高通公司、芯片制造商和設(shè)備供應(yīng)商披露了其發(fā)現(xiàn)的結(jié)果，并在 CVE 列表中分配了六個(gè)漏洞。 高通公司已經(jīng)修復(fù)了影響其驍龍?DSP 芯片的六個(gè)安全漏洞，但要最終修復(fù)漏洞，智能手機(jī)制造商仍然必須向用戶提供修復(fù)程序，這意味著許多無法收到安全更新的智能手機(jī)，仍然很容易受到潛在攻擊。

Check Point在博客中提供了關(guān)于如何發(fā)現(xiàn)該公司DSP芯片中漏洞的更多見解，并指出：“由于DSP芯片具有“黑匣子”性質(zhì)，移動(dòng)廠商要解決這些問題非常困難，因?yàn)樾酒圃焐瘫仨毷紫冉鉀Q這些問題。使用我們的研究方法和最先進(jìn)的模糊測(cè)試技術(shù)，我們能夠克服這些問題，從而獲得了對(duì)被測(cè)試 DSP 芯片內(nèi)部的罕見理解。這使我們能夠有效地審查芯片的安全控制并確定其弱點(diǎn)?！?/span>

考慮到高通 DSP 芯片中漏洞的嚴(yán)重性，建議用戶在補(bǔ)丁或修補(bǔ)程序發(fā)布后，立即更新。高通公司的發(fā)言人就此事發(fā)表了以下聲明：“提供支持強(qiáng)大安全性和隱私性的技術(shù)是高通公司的首要任務(wù)。關(guān)于 Check Point 披露的驍龍 DSP 的漏洞，我們進(jìn)行了認(rèn)真的工作以驗(yàn)證問題并為 OEM 廠商提供適當(dāng)?shù)木徑獯胧Ｎ覀儧]有證據(jù)表明它目前正在被利用。我們鼓勵(lì)最終用戶在補(bǔ)丁可用時(shí)更新其設(shè)備，并僅從受信任的位置（例如 Google Play 商店）安裝應(yīng)用程序?！?/span>