高通移动芯片存在漏洞,安卓手机位置服务受影响
在将辅助GPS引入其移动芯片组近十年后,高通芯片被爆存在漏洞,会导致攻击者扰乱用户的位置服务,或使其手机崩溃。
2007年,高通使用卫星的历书来更快地进行GPS信号捕获。Qualy的gpsOneXTRA技术会帮助手机识别位置,而不是盲目地获取信号。
但是,Nightwatch安全研究团队周一在一份公告中指出,有些实现使用未加密和未经验证的HTTP而不是HTTPS来获取历书文件。造成漏洞CVE-2016-5341。
公告中指出每次设备——Nightwatch的测试使用摩托罗拉Moto G——连接WiFi时,操作系统级的进程获取历书。
“我们检查了网络流量和安卓源代码,发现网络调用没有使用SSL或任何其他加密或身份验证技术,并且我们测试的特殊文件没有数字签名。”
中间人攻击者可以用伪造的GPS信息替换文件。伪造历书数据看似只是一种滋扰级别的攻击:手机会循环寻找并不存在的卫星。
但是,谷歌在其12月份的安全公告中指出,发送假冒的.bin文件伪装成GPS历书可能会挂起设备,并将其定为“高”严重等级。
谷歌设备2016-12-05即可进行安全更新,其他安卓设备用户需等到他们的OEM(Original Equipment Manufacturer,原始设备制造商)推出更新。
公告中还指出,该漏洞只影响安卓设备,因为安卓设备从高通域名gpsonextra.net和izatcloud.net获取历书文件,而苹果和微软使用内部机制来传递文件。
目前,高通正与其OEM合作切换到HTTPS连接,以隐藏和保护加密流中的GPS历书信息。
注:历书是表示卫星运行的参数。历书包括全部卫星的大概位置,用于卫星预报。历书是从导航电文中提取的,每12.5分钟的导航电文才能得到一组完整的历书。