安防產業首選全媒體平台
產 業 動 態 | 重 磅 專 題 | 安 防 新 科 技 | 應 用 市 場 | TALK XO
新 品 聚 焦 | 專 家 觀 點 | 安 防 企 業 | 工 程 商 地 圖 | 安 防 產 品 誌
 
產業動態
 
Check Point 發現高通晶片漏洞,恐使 Android 使用者隱私外洩
 
網路安全解決方案領導廠商 Check Point® Software Technologies Ltd.在高通 MSM (Mobile Station Modem)晶片中發現一個安全性漏洞,目前全球約 40% 手機皆使用此晶片進行蜂巢式通訊(Cellular Communication);攻擊者可利用此漏洞將 Android 作業系統作為入口,在手機內安裝惡意程式碼或隱形病毒,以存取簡訊和通話音檔。
 
撰文:iDS新聞中心
  好友人數
 

 


這款高通嵌入式晶片應用於市面上約 40% 的手機,包括 Google、三星、LG、小米和一加(OnePlus)的高階手機。2020 年 8 月,Check Point Research 也曾在高通的 DSP 晶片中發現了 400 多個漏洞,對於手機的使用上構成巨大威脅。

本次發現的新漏洞位於高通 MSM 晶片上,為一系列內嵌於手機的SoC(系統單晶片),支援 4G LTE 和高畫質錄影等進階功能,目前也有 5G 版本。由於駭客一直不斷試圖從遠端攻擊行動裝置,如發送簡訊或精心設計的無線電封包(Radio Packet)與裝置進行通訊,並奪取控制權,因此 MSM 晶片一直是資安研究和網路犯罪分子關注的焦點。

除此之外,Android 系統也能夠透過高通的 QMI(Qualcomm MSM Interface) 與 MSM 晶片處理器進行通訊;QMI 是一種專屬協定,支援 MSM 中的軟體元件與裝置上的週邊子系統(例如相機和指紋辨識器)進行通訊。Counterpoint Research 調查顯示,全球 30% 手機皆採用了 QMI,卻少有人知其為一種潛在的攻擊手法。

若資安研究人員想要通過數據機調試器(Modem Debugger)查找最新的 5G 代碼,最簡單的方式就是透過 QMI 利用 MSM 晶片的資料服務,而網路犯罪分子也可以採用此方法。Check Point Research 於數據機資料服務中發現了一個可用於控制數據機,以及從應用程式處理器動態嵌入程式碼的漏洞,代表攻擊者可利用此漏洞從 Android 系統向數據機安裝惡意程式碼,竊取使用者的通話記錄和簡訊,並監聽裝置使用者的對話。駭客還可以利用此漏洞解鎖手機 SIM 卡,解除電信商的設定。

Check Point Research 立即向高通揭露了此研究結果,高通確認後將其定義為高危險漏洞,並已通知相關廠商及告知此漏洞編號為 CVE-2020-11292。

給企業和手機使用者的建議
行動裝置有著別於傳統端點的威脅表面(Threat Surface),建議遵循以下原則以有效防護裝置安全:
  • 將行動裝置更新至最新版本的作業系統,以防漏洞遭利用。
  • 僅安裝從官方應用程式商店下載的 App,減少下載和安裝行動惡意軟體的可能性。
  • 在所有行動裝置上啟用「遠端清除」(Remote Wipe)功能,以最大程度地降低敏感資料丟失的風險。
  • 在行動裝置上安裝安全解決方案。

    Check Point 強烈建議企業使用行動裝置安全解決方案來保護資料安全,像是 Check Point Harmony Mobile 能提供即時威脅情報及威脅可視性,以預防它們對於業務帶來的影響,同時全面防護本文提及的高通晶片漏洞。
  •  
      ※本文圖文非經授權不得轉載,洽詢授權,請E-Mail至contact@aimag.tw[ iDS智慧安防雜誌聲明 ]※

    專家 Expert
     
     
    合作夥伴
     
    安防-倬茂企業
    倬茂企業
    安防-晶睿通訊
    晶睿通訊
    安防-建碁AOPEN
    建碁AOPEN
    安防-德勝監控
    德勝監控
    安防-FLIR Systems, Inc.
    FLIR Systems, Inc.
    安防-建碁智見INFERFY
    建碁智見INFERFY
       
    安防-友旭科技
    友旭科技
    安防-成創科技
    成創科技
    安防-皇昇科技
    皇昇科技
    安防-聯發光電
    聯發光電
    安防-創奇科技
    創奇科技
    安防-欣永成科技
    欣永成科技
       
    安防-通航國際
    通航國際
    安防-台達電子工業
    台達電子工業
    安防-台灣安迅士
    台灣安迅士
    安防-宏電科技
    宏電科技
    安防-茂旭資訊
    茂旭資訊
    安防-Western Digital
    Western Digital
       
    安防-馥鴻科技
    馥鴻科技
    安防-可取國際
    可取國際
    安防-台灣微凱
    台灣微凱
    安防-優比快科技
    優比快科技
    安防-羽澤科技
    羽澤科技
    安防-城智科技
    城智科技
       
    安防-盛遠實業
    盛遠實業
    安防-Informa Markets
    Informa Markets
    安防-Informa Markets BN Co., Ltd.
    Informa Markets BN Co., Ltd.
    安防-清波實業
    清波實業
    安防-SCOO司固
    SCOO司固
    安防-維夫拉克
    維夫拉克
       
    關於iDS+智慧安防雜誌  
       
    安防產業長期處於資訊不對等的情況下,導致好的產品與好的技術無法正確並有效地傳遞給行業相關業者與廠家,我們希望透過此一平台,建構一公平且快速的「訊息牆」,快速且專業的將對的資訊與設備傳遞給對的讀者。我們長期耕耘專業應用市場,深度了解應用市場狀況與需求、隨時掌握安防產業與應用市場動態,進而促進產業與應用市場的多元化互動。  
       
    讀者服務信箱:contact@aimag.tw  
    讀者免付費服務專線:0800-309988  
    讀者服務時間:星期一~星期五 09:00~18:00  
    LINE線上即時客服:星期一~星期五 09:00~18:00  
      關於我們
       
      關於我們 | 內容政策 | 隱私條款 | 版權使用 | 聯絡我們
       
       
      追蹤我們
       
     
       
      *本網站不會向讀者收取任何舉凡仲介、手續等等費用,若有不肖人士向您收取費用,請您立即告知我們
     
    關係媒體    
       
    Copyright @ 2013 iDS智慧安防雜誌