高通芯片现漏洞：或影响全球 30% Android手机

手机芯片安全与用户隐私息息相关，尤其是在当下数据信息满天飞舞的年代，芯片安全的保障更加重要。

近日，有安全研究人员称，高通芯片上出现新的漏洞，或将导致全球 30% 的 Android 手机受影响。

具体来看，该漏洞存在于5G调制解调器数据服务中，该漏洞可能允许移动黑客通过向手机调制解调器注入恶意代码远程攻击Android用户，获得执行代码的能力，访问手机用户的通话记录和邮件，窃听电话。

据CheckPoint研究公司介绍，该漏洞(CVE-2020-11292)存在于高通移动站调制解调器(MSM)接口中，称为QMI。该系统是由高通公司设计的电影系统(SoC)，QMI是一种专有协议，用于调制解调器中的软件组件与其它外围子系统之间的通讯。

这个漏洞的影响可能很深:MSM从移动互联网前2G时代的移动设备开始使用。根据CheckPoint的数据，QMI在全球约30%的手机中使用，包括谷歌、LG、一加、三星旗舰Galaxy系列和小米手机。

CheckPoint发言人表示，从本质上说，攻击者可以利用这个漏洞，通过恶意或木马化的Android应用程序远程攻击移动设备。“假设恶意应用程序在手机上运行，它可以利用这个漏洞在调制解调器芯片中隐藏自己，当前手机上的所有安全措施中不可见。”

CheckPoint发言人还表示，CheckPoint决定不分享漏洞的所有技术细节，以免为黑客提供一个关于如何规划和使用的路线图。然而，他指出:基本上，我们试图从手机本身而不是运营商的‘攻击’芯片。我们在那里发现了一些有趣的漏洞，导致远程代码执行。

幸运的是，高通公司已经发布了一项修复计划，但补丁的推出将非常缓慢。

这位发言人表示：高通公司已经通知了所有的Android供应商，我们自己也和他们中的一些供应商谈过，他说：我们不知道谁打了补丁或者没有。从我们的经验来看，这些修复措施的实施需要时间，所以很多手机仍然很容易受到威胁。

据了解，高通的芯片以前就有缺陷。比如CheckPoint在去年的DEFCON上披露了高通小龙移动芯片组的六大严重缺陷，影响了40%正在使用的Android手机，导致拒绝服务和权限升级。

回到此次发现的漏洞本身，由于高通芯片已被广泛应用在多款主流手机身上，比如一加、三星Galaxy系列、小米以及谷歌和LG旗下的手机，都有可能受到这个漏洞的威胁。

此外，目前全球智能手机用户超过30亿，而其中有将近三分之一使用的是高通基带芯片；也就是说，高通基带芯片的漏洞将影响超过10亿智能手机用户。因此，建议上述品牌的手机用户，近期最好多多注意一下手机状态。