30%手机受影响！高通芯片再现高危漏洞

小雪看雪学院 2021-05-14

据数据显示，全球智能手机中有近1/3使用美国高通公司的芯片。如果该公司的芯片出现安全漏洞，那么这些智能机也将面临不小的危险。

近日，Check Point 公司研究报告披露称高通的移动站调制解调器（MSM）端口（QMI）存在一高危漏洞，该漏洞追踪名为CVE-2020-11292。

MSM 是高通公司设计的SoC（片上系统），从狭义角度来说它是信息系统核心的芯片集成，而QMI 是一个专有协议，用于移动站调制解调器中的软件组件和其他外围子系统（如相机等）之间的通信。

攻击者能够通过QMI接口向MSM组件发送格式错误的Type-Length-Value（TLV）数据包来触发错误。并通过该漏洞在MSM中注入恶意代码，远程控制Android设备，访问用户的通信记录，甚至直接窃听电话。

更可怕的是，该漏洞可被利用使得远程攻击隐藏在调制解调器芯片中，手机上的安全措施不会识别出来。

Check Point 去年发现该漏洞后，就向高通报告了该漏洞。高通也已经公开披露了该漏洞的存在，并于 2020 年 12 月发布了补丁修复程序。

漏洞时间轴（摘自Check Point研究报告）

但目前具体哪些手机厂商收到了补丁还未知，涉及的手机可能仍存在被攻击的风险。

据统计，QMI 在全球大约 30% 的手机中使用，包括Google Pixel、三星、LG、小米、一加等手机品牌或受到影响。

当然，去年高通芯片就被爆出过漏洞，其骁龙移动芯片组存在六个严重缺陷，手机易受到拒绝服务和权限升级的攻击。

专业人士建议，为保障隐私安全，各位 Android 用户最好更新至较新的系统版本确保可以接收到该漏洞的补丁。

业内21年老牌信息安全平台，邀你来分享！