Google 以及所有 Android 手機製造商都努力軟體與硬體的安全性方面各顯神通以維護用戶的權益,安全機構 Check Point 在日前卻披露了廣為使用的高通 SoC 中有一個值得關注的漏洞,理論上來說,它能夠允許惡意應用程式透過高通 MSM上的漏洞存取通話與簡訊歷史記錄,甚至還能記錄下對話內容。
Check Point 指出數據晶片漏洞,高通聲明:已經向 OEM 廠商釋出修復方式
Check Point 的報告中的敘述以較白話的方式來說,就是在高通 QMI 軟體層和數據晶片之間的連接裡面發現漏洞,使其能夠以動態插入軟體並繞過尋常的安全機制。標準的第三方應用並沒有訪問 QMI 的安全性特權,但若是 Android 的更多關鍵方面受到損害則可利用此來進行攻擊。
透過發現的漏洞,研究人員確認了惡意應用可以監聽和記錄通話、接聽來電和己訊記錄,甚至能夠解鎖 SIM 卡。Check Point 估計,易受攻擊的 QMI 存在於市場上大約 40% 的智慧型手機之中,涵蓋了來自 Google、Samsung、LG、OnePlus、小米等品牌。雖然這次的安全報告為了防止不肖人士輕易地重複過程所以並沒有具體地將侵入過程細節敘述出來,但慶幸的是目前還沒有發現透過這個漏洞進行的攻擊。
在去年 10 月這個問題被向高通披露以來,將此列為高評級漏洞,而高通也聲明在 2020 年 12 月時已經向 OEM 廠商提供修復方式,而許多 Android 手機的 OEM 廠商已經在不同時間點向消費者推出了相關安全性更新,消費者在收到安全性更新後應盡速安裝以確保個人用機安全。
◎資料來源:Android Police