Check Point Research 發現全球 37% 智能手機所採用的晶片存在漏洞, 香港接近過半智能手機用戶或受影響

Check Point Research發現全球 37% 智能手機所採用的晶片存在漏洞
香港接近過半智能手機用戶或受影響

 

要點

  • Check Point Research (CPR)於聯發科晶片中發現漏洞,而目前全球 37% 的智能手機都採用該公司的晶片
  • CPR 在音訊處理器中發現了幾個可以從 Android 用戶空間訪問的漏洞
  • 攻擊者可能會利用這些漏洞從非特權 Android 應用程式竊聽用戶

自 2020 年第三季度以來,台灣晶片供應商聯發科(MediaTek)一直是全球智能手機晶片的市場龍頭。全球約 37% 的智能手機和物聯網設備都採用了聯發科系統單晶片 (SoC),包括小米、Oppo、Realme、Vivo 等品牌所推出的高端手機,這些手機均採用Android作業系統。根據StatCounter的數據顯示,Android系統於10月在香港市場佔有率達48.53%,換句話說,香港有接近一半智能手機用戶有機會受到影響。

現代聯發科 SoC(包括最新的 Dimensity 系列)包含一個特殊的 AI 處理單元 (APU) 和音訊數位訊號處理器 (DSP),目的是為了提高媒體性能和降低 CPU 使用率。APU 和音訊 DSP 均採用了定制的 Tensilica Xtensa 微處理器架構。借助 Tensilica 處理器平台,晶片製造商可使用自訂指令擴展基本 Xtensa 指令集,以優化特定演算法,並防止被複製。這令聯發科 DSP 成為安全研究領域一個非常獨特且極具挑戰性的研究目標。

在這項研究中,我們對聯發科音訊 DSP 固件實施了逆向工程設計,發現了幾個可從 Android 用戶空間訪問的漏洞。我們的研究目標是找出從 Android 手機攻擊音訊 DSP 的方法。

攻擊者可能會使用格式錯誤的處理器間消息來執行和隱藏 DSP 固件中的惡意程式碼。由於 DSP 固件可以訪問音訊資料流程,黑客可能會利用 DSP 竊聽用戶。

通過關聯原始設備製造商 (OEM) 合作夥伴庫中的漏洞,我們發現聯發科安全問題可能會造成 Android 應用的本地許可權升級。

在 DSP 固件中發現的漏洞(CVE-2021-0661、CVE-2021-0662、CVE-2021-0663)已經修復,並已在 2021 年 10 月的聯發科安全公告中發佈。聯發科音訊 HAL 中的安全問題 (CVE-2021-0673) 已於 10 月修復,並將於 2021 年 12 月的聯發科安全公告中發佈。

數碼領域

《2021全球公匙基建及物聯網趨勢研究》反映數碼轉型和職場變革推動對公匙基建和數碼證書的需求

數碼領域
2021-11-11 0
《2021全球公匙基建及物聯網趨勢研究》反映 數碼轉型和職場變革推動對公匙基建和數碼證書的需求   欠缺持有權、資源和技能持續對部署公匙基建構成挑戰 中國香港,2021年11月11日 — 由提供可信身份、支付和數據保護的全球領導翹楚 Entrust 委託Ponemon Institute進行的一項年 ...

Arlo 推出雙十一限定優惠 更抵價錢締造安全家居

數碼領域
2021-11-10 0
Arlo 推出雙十一限定優惠 更抵價錢締造安全家居   為慶祝「雙十一」年度購物盛事,Arlo 由即日起至11月30日為旗下多款屢獲殊榮的智能網絡攝影機及視訊門鈴提供優惠。 Arlo業界領先的家居保安產品,包括Arlo Pro 4 無線網絡聚光燈攝影機、Arlo Ultra 2 無線聚光燈攝影機、A ...

Be the first to comment

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料