北京時(shí)間11月25日消息,安全廠商Check Point今天披露,由聯(lián)發(fā)科設(shè)計(jì)的片上系統(tǒng)音頻處理固件存在一處安全漏洞,惡意應(yīng)用可以秘密將用戶手機(jī)“變成”監(jiān)聽工具。
Check Point估計(jì),全球37%的智能手機(jī)存在這一漏洞。Check Point從一部運(yùn)行Android 11、配置Dimensity 800U芯片的紅米Note 9 5G手機(jī)中獲取了聯(lián)發(fā)科芯片的控件。
據(jù)Check Point稱,權(quán)限不高的惡意Android應(yīng)用,可以利用這一缺陷,以及聯(lián)發(fā)科和手機(jī)廠商系統(tǒng)軟件、驅(qū)動(dòng)代碼的“疏忽”,提升權(quán)限,直接向音頻處理固件發(fā)送消息。由于缺乏相應(yīng)安全措施,固件的內(nèi)存可以被覆蓋,執(zhí)行收到的消息中的指令。
Check Point安全研究人員斯拉瓦·馬卡維夫(Slava Makkaveev)稱,“鑒于聯(lián)發(fā)科芯片很流行,我們認(rèn)為它可能成為潛在黑戶發(fā)動(dòng)攻擊的通道。”惡意應(yīng)用可以對(duì)芯片編程,使設(shè)備成為竊聽工具、運(yùn)行秘密應(yīng)用
聯(lián)發(fā)科認(rèn)為這些安全漏洞尚未被黑客利用,并已經(jīng)向手機(jī)廠商發(fā)布補(bǔ)丁軟件。
