Check Point Research 發現全球 37% 智能手機所採用的晶片存在漏洞, 香港接近過半智能手機用戶或受影響

Check Point Research發現全球 37% 智能手機所採用的晶片存在漏洞
香港接近過半智能手機用戶或受影響

 

要點

  • Check Point Research (CPR)於聯發科晶片中發現漏洞,而目前全球 37% 的智能手機都採用該公司的晶片
  • CPR 在音訊處理器中發現了幾個可以從 Android 用戶空間訪問的漏洞
  • 攻擊者可能會利用這些漏洞從非特權 Android 應用程式竊聽用戶

自 2020 年第三季度以來,台灣晶片供應商聯發科(MediaTek)一直是全球智能手機晶片的市場龍頭。全球約 37% 的智能手機和物聯網設備都採用了聯發科系統單晶片 (SoC),包括小米、Oppo、Realme、Vivo 等品牌所推出的高端手機,這些手機均採用Android作業系統。根據StatCounter的數據顯示,Android系統於10月在香港市場佔有率達48.53%,換句話說,香港有接近一半智能手機用戶有機會受到影響。

現代聯發科 SoC(包括最新的 Dimensity 系列)包含一個特殊的 AI 處理單元 (APU) 和音訊數位訊號處理器 (DSP),目的是為了提高媒體性能和降低 CPU 使用率。APU 和音訊 DSP 均採用了定制的 Tensilica Xtensa 微處理器架構。借助 Tensilica 處理器平台,晶片製造商可使用自訂指令擴展基本 Xtensa 指令集,以優化特定演算法,並防止被複製。這令聯發科 DSP 成為安全研究領域一個非常獨特且極具挑戰性的研究目標。

在這項研究中,我們對聯發科音訊 DSP 固件實施了逆向工程設計,發現了幾個可從 Android 用戶空間訪問的漏洞。我們的研究目標是找出從 Android 手機攻擊音訊 DSP 的方法。

攻擊者可能會使用格式錯誤的處理器間消息來執行和隱藏 DSP 固件中的惡意程式碼。由於 DSP 固件可以訪問音訊資料流程,黑客可能會利用 DSP 竊聽用戶。

通過關聯原始設備製造商 (OEM) 合作夥伴庫中的漏洞,我們發現聯發科安全問題可能會造成 Android 應用的本地許可權升級。

在 DSP 固件中發現的漏洞(CVE-2021-0661、CVE-2021-0662、CVE-2021-0663)已經修復,並已在 2021 年 10 月的聯發科安全公告中發佈。聯發科音訊 HAL 中的安全問題 (CVE-2021-0673) 已於 10 月修復,並將於 2021 年 12 月的聯發科安全公告中發佈。

數碼領域

思科最新調查:僅9% 港企充分把握人工智能潛在機遇

數碼領域
2024-11-16 0
思科最新調查:僅9% 港企充分把握人工智能潛在機遇 港企人工智能準備度不足  充分準備比率明顯低於去年數字(25%) 新聞概要: 亞太區企業人工智能準備度情況不理想,僅9% 香港企業充分把握人工智能潛在機遇,較去年的25% 大幅下降。 各企業正全力投資人工智能,近半(48%)香港企業將目前10% 至 ...

XTransfer 新加坡金融科技節舞台演講獲關注

數碼領域
2024-11-16 0
XTransfer 新加坡金融科技節舞台演講獲關注 展示金融風控技術、積極探討區內合作機會 XTransfer,全球領先及中國第一的B2B跨境貿易支付平台,上週於「新加坡金融科技節2024」(Singapore Fintech Festival 2024),現場獲得參與者極大關注,展位參觀人潮駱驛不 ...

Be the first to comment

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料