本文来自极客公园
如果全球芯荒持续,将从汽车企业、手机厂商蔓延到家电行业,打击企业产品生产进度,带来更高的生产成本,间接影响消费者。那么,芯片安全漏洞问题将直接对用户的隐私和数据造成严重影响。
在高通因产能问题延迟交付芯片7个月后,新一轮危机出现。
五一假期后,海外安全公司Check Point Research发现高通的调制解调器芯片存在漏洞。调制解调器芯片主要负责手机通信,是一个具有2G、3G、4G、5G功能的片上系统。
也就是说,用户发短信、打电话、上网都需要调制解调器芯片。一旦调制解调器芯片存在漏洞,黑客或网络攻击者就可以利用这些漏洞,通过Android手机系统进行攻击,注入恶意的隐形代码。
被黑客盯上后,用户的短信、通话记录、通话信息,甚至解锁移动设备上的用户识别模块,存储用户的网络认证信息和联系方式。
据悉,网上公开数据显示,全球市场上约40%的手机使用高通芯片。这些手机厂商包括谷歌、三星、小米、OPPO、vivo、一加等手机品牌。这意味着全球近一半的手机用户可能面临隐私泄露、手机远程监控冻结、数据丢失等风险。
芯片漏洞出了什么问题?是不是只要用软件补丁修复就很容易解决风险?泄露可能没那么乐观,更有可能根本解决不了。
手机芯片漏洞影响范围包括5G手机漏洞百出
这不是高通第一次出现芯片漏洞。
2020年,DEFCON全球黑客大会上的一项研究显示,高通的移动芯片存在6个严重漏洞,这些漏洞将影响成千上万的安卓智能手机和平板电脑。安全研究人员还发现,该漏洞主要是高通的DSP芯片,负责将语音、视频、GPS位置传感器等服务转换为可计算的数据,并控制用户的Android系统和高通处理器硬件之间的实时请求处理。
如果DSP有缺陷,黑客可以收集和访问用户的照片、视频、电话记录、麦克风的实时数据、GPS位置信息等等。
试想,一个用户外出地点的信息,以及照片、视频,甚至是通过麦克风与他人交谈的内容,都可以被远程黑客和网络攻击者清楚地了解。严重的情况下,黑客可能会破坏目标手机,远程开启用户的麦克风,植入手机根本无法检测到的恶意软件,发起拒绝服务攻击,冻结手机,随意使用手机上的数据。
值得注意的是,高通DSP芯片上有超过400个易受攻击的代码。只要厂商和用户不采取任何干预措施,手机就有可能成为‘间谍工具’。
但上一次,与2020年不同,高通的漏洞出现在调制解调器芯片上。
如上所述,调制解调器负责手机的通信功能。比如市面上的手机逐渐升级为5G手机。手机的5G性能、接收信号等功能很大程度上取决于调制解调器芯片的性能。
和DSP芯片的漏洞一样,黑客通过Android系统向调制解调器芯片注入恶意代码,网络犯罪分子可以轻松探查到厂商最新的5G代码。注入代码的不同码片位置将影响不同的功能。
比如调制解调器芯片主要集中在电话通话功能,访问用户的通话记录,监听用户通话,解锁手机SIM卡,逾越电信运营商的控制。
无论如何,这些芯片漏洞都会对用户的隐私、数据安全、财产安全造成极大的影响。有人说,芯片公司通过发布漏洞补丁,完全可以防止这些漏洞被网络上的不法分子利用,但实际上,要实现起来并不容易。
或者无解。
芯片漏洞被第三方机构公布后,高通拒绝表态。相反,它发表声明说,高通正在核实问题,并为原始设备制造商提供适当的缓冲措施。目前没有证据表明这些漏洞正在被利用。当然,高通鼓励用户更新设备补丁。
高通的声明掩盖了这些高危漏洞的存在。事实上,早在第三方攻击机构发现之前,高通就注意到了2020年DSP芯片的漏洞。同年7月,高通开发了破解一些WPA2加密无线网络的补丁,随后在12月再次发布了一些漏洞的补丁。
但即使高通发布了补丁,效果也不会令人满意。
报道援引Check Point research负责人雅尼夫巴尔马斯(Yaniv Balmas)的话说,这些芯片漏洞让数亿部手机在全球裸奔,修复这些手机是一项不可能完成的任务。
一方面,这些补丁主要是针对升级新安卓系统的用户,而旧安卓版本的用户不受保护。据Stat Counter数据显示,全球约有19%的安卓手机运行谷歌2018年8月发布的安卓Pie 9.0操作系统,而超过9%的用户手机运行谷歌2017年12月发布的安卓8.1 Oreo操作系统。相当一部分安卓手机用户是老版本。
另一方面,高通只是整个芯片安全危机事件链条中的一环,还需要OEM,也就是手机厂商和谷歌的配合。高通需要修复芯片和操作硬件中的漏洞,然后再交付给手机制造商,或者将修复程序交给手机制造商。
完成高通的漏洞补丁是不够的。手机制造商如何确保该补丁集成到正在组装或在市场上流通的手机中,这具有很大的不确定性。众所周知,手机厂商更新系统很慢。例如,谷歌在2019年发布稳定版Android 10后,大多数用户至少需要一年时间来过渡到新的手机系统。如果手机版本太低或者服务政策不同,有些手机甚至无法更新最新系统。谷歌虽然是手机系统开发商,但不能直接为手机用户更新最新的系统和补丁。
更重要的是,芯片的复杂性决定了漏洞无法‘根治’。
以DSP芯片为例。DSP芯片就像手机的‘黑匣子’。除了芯片厂商,其他人很难检测到它的工作原理,安全人员也很难测试出来。因此,DSP芯片中很可能存在许多成熟的、未知的安全漏洞。
同时,DSP芯片承载了现代手机的很多创新功能,包括快充、多媒体功能等,很容易被黑客盯上。退一步说,即使用户升级手机,修复漏洞也不能解决问题。
2022年,高通的芯片漏洞出现在调制解调器芯片上。与DSP相比,调制解调器的复杂性更差。它有数千行代码。有理由相信,两三年前的旧代码会存在于现在的新芯片型号上。黑客可以以旧代码为突破口,攻击窃取手机信息。
鉴于解决芯片漏洞越来越像一个不可能完成的任务,作为用户,你要么从自己开发的、拥有封闭生态系统的苹果手机阵营换手机操作系统和芯片,要么谨防下载安装所有来源不明的应用。在一定程度上,安卓手机厂商,包括芯片厂商、手机厂商、操作系统厂商,都应该把用户的数据安全作为第一要务,共同寻找一个能够平衡各方利益的安全解决方案。
小米MIX Fold外屏多大?-外屏尺寸 小米MIX Fold有前置摄像头吗?-前置摄像怎么样? 小米MIX Fold支持5G吗?-支持双卡双待吗? 小米11锁屏按键声音怎么关闭-小米11锁屏按键声音在哪关 小米11真机体验怎么样-小米11有哪些提升 小米12多少钱-什么时候出 12999元小米首款OLED电视:体验完后我下单了 消费者起诉红米Note 2配置与宣传不符 香槟金小米5C真机开箱图赏 小米5c和小米5s有什么区别 不想选iPhone 14,还有五款国产手机也很强,用到2025年问题不大 2022年,苹果和华为旗舰手机怎么选? 金秋买点什么好?这几款手机数码产品使用后体验出色,可以参考 2022下半年换机指南:华为苹果一加小米争鸣,这四款机型很难不爱 2022年下半年想换机,三款最值得购买的国产旗舰不能错过 高端旗舰别乱选,这五款实力偏强,你选对了吗? 手机口碑很重要,这四款新机口碑较为出色,你选对了吗? 国产旗舰机怎么选?这三款性能卓越堆料足,款款都综合实力强 覆盖高中低全价位,这四款手机才是2022年的真旗舰,入手不亏 不与iPhone 14和华为 Mate 50 争风头!这四款高性价比手机,覆盖高中低三档 OPPO18年,创新科技越来越多 OPPO看着现在很多一句话重复N多篇的“洗脑式”广告 盘点3K价位几款真香机,颜值拍照都在线,每一款都很值得入手 想要买AirPods Pro 2,现在华强北耳机就能代替,但不建议入手 手机流畅度是否值得重视?OPPO Reno8 Pro上手体验感受 A16芯片被吐槽挤牙膏?游戏玩家更推荐看看这些新机 华为 Mate 50 Pro和vivo X80 Pro这两款手机怎么选择? 今天大家朋友圈最热的话题,应该就是羊了个羊如何闯关吧 iOS 16登上热搜,网友却说摆烂?现在入手骁龙8+旗舰更香 苹果14正式开售!追求高性价比,但更推荐这三款高口碑安卓旗舰