資訊安全專欄
高通Snapdragon晶片被發現400多個漏洞,讓10億台Android裝置陷入機敏資料被竊風險,官方已有解
文.圖/Johan 2020-08-10 10:08:55
先前PC領域被發現CPU擁有重大資安漏洞,將導致有心人士透過側道攻擊或是其他方式來竊取用戶的機敏資料,雖說PC處理器大廠們紛紛推出各種緩解措施,來想辦法補破網,但至今還是有不少漏洞、Bug還沒完全解決,當然有些漏洞其實沒那麼危險,且在現實生活中,這些比較無關緊要的漏洞是幾乎很難被拿來利用的,除非使用刻意的作法,才能突破該漏洞。因此看似漏洞非常多,但其實只要將重大安全更新包安裝好之後,就幾乎能防堵絕大多數的硬體Bug所導致的安全性漏洞!
根據安全研究人員指出,這些漏洞直接影響到Snapdragon晶片內的DSP (數位訊號處理器)功能,主要應用於視訊、音訊、AR (擴增實境)和各式多媒體功能,且該DSP也監管手機的快充功能。要是駭客利用該漏洞將惡意程式碼隱藏到Android作業系統中,就等於無法刪除掉,此時您的手機就成為駭客的傀儡,要是對方下一道指令讓您手機無法使用,使用者也無可奈何!到時候要徹底根除這樣的問題,將會變得很麻煩!
目前該資安公司也會在8/14針對Achilles漏洞以網路會議方式來進行討論,屆時將可能公佈這些漏洞的完整細節,以及哪些處理器會受到這個漏洞的影響。
此外,Qualcomm也聲明說,目前還沒有證據證明這次的漏洞已被駭客或有心人士拿來利用。白話文來說,就是還沒有人拿這次的漏洞來幹壞事!但為避免受到潛在性的安全影響,Qualcomm建議使用者還是透過受信任的軟體商店(如Google Play Store)來下載App,以避免受到安全性的攻擊。
不過,話說回來,由於App上架機制的審核制度,使得有心人士甚至可能直接透過Google Play商店來將「有毒的App上架」,這樣反而讓那些透過正式管道下載App的使用者受害!因此,在瀏覽軟體商店時,還是要注意一下來路不明的App,避免去下載那些App來讓自己的手機受害!
由於目前尚未得知受影響的Qualcomm處理器、以及確切的受影響的手機型號,因此後續有更多消息,我們再為大家更新!
Snapdragon發現安全漏洞,有資料外洩、位置追蹤、被監聽等風險
至於行動裝置方面,難道都安全嗎?不提還好,一提嚇一跳!資安公司的研究人員已在Qualcomm (高通)的Snapdragon晶片內,發現到400多個漏洞,這些漏洞將會影響到至今已超過10億台Android裝置。只要駭客或有心人士透過安裝惡意應用程式(App),即可利用上述這些漏洞,在未經使用者的允許之下,竊取該裝置的各項資訊,包括聯絡人、行事曆等個人資料,還可透過您有開啟GPS來追蹤您現在的位置,甚至可以開啟您的麥克風來監聽您的周圍環境。根據安全研究人員指出,這些漏洞直接影響到Snapdragon晶片內的DSP (數位訊號處理器)功能,主要應用於視訊、音訊、AR (擴增實境)和各式多媒體功能,且該DSP也監管手機的快充功能。要是駭客利用該漏洞將惡意程式碼隱藏到Android作業系統中,就等於無法刪除掉,此時您的手機就成為駭客的傀儡,要是對方下一道指令讓您手機無法使用,使用者也無可奈何!到時候要徹底根除這樣的問題,將會變得很麻煩!
資安公司發現Qualcomm處理器有超過400種漏洞,命名Achilles
根據資安公司Check Point所公佈的這款名叫Achilles的漏洞所示,其影響的手機包含40%的高階手機,範圍涵蓋Google、Samsung、LG、小米、OnePlus等手機。而些漏洞也被命名為:CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208與CVE-2020-11209。目前該資安公司也會在8/14針對Achilles漏洞以網路會議方式來進行討論,屆時將可能公佈這些漏洞的完整細節,以及哪些處理器會受到這個漏洞的影響。
Qualcomm已有緩解措施,但尚未釋出,建議別亂裝App
據悉,Qualcomm已針對上述的漏洞,發表了安全修補程式,但由於該程式必須整合至Android作業系統才行,因此對於使用者來說,還無法馬上取得。截至目前為止,Google和Qualcomm尚未公佈何時才會將這個修補程式釋出給大眾使用。此外,考量到受到此次漏洞所影響到的龐大裝置數量(超過10億),加上Android的安全性更新機制並不像Windows那樣頻繁 (Android作業系統的升級與更新,主要由裝置廠商來掌控,包括Samsung、LG、小米、華碩、Sony、Nokia…等等),因此安全修補程式也不一定能完全讓修補到每台Android裝置。此外,Qualcomm也聲明說,目前還沒有證據證明這次的漏洞已被駭客或有心人士拿來利用。白話文來說,就是還沒有人拿這次的漏洞來幹壞事!但為避免受到潛在性的安全影響,Qualcomm建議使用者還是透過受信任的軟體商店(如Google Play Store)來下載App,以避免受到安全性的攻擊。
不過,話說回來,由於App上架機制的審核制度,使得有心人士甚至可能直接透過Google Play商店來將「有毒的App上架」,這樣反而讓那些透過正式管道下載App的使用者受害!因此,在瀏覽軟體商店時,還是要注意一下來路不明的App,避免去下載那些App來讓自己的手機受害!
由於目前尚未得知受影響的Qualcomm處理器、以及確切的受影響的手機型號,因此後續有更多消息,我們再為大家更新!
延伸閱讀
Check Point在Android手機晶片中發現重大風險,高通DSP晶片存在 400 多個安全漏洞,對全球40%手機使用者資訊安全造成威脅- 發表您的看法
請勿張貼任何涉及冒名、人身攻擊、情緒謾罵、或內容涉及非法的言論。
請勿張貼任何帶有商業或宣傳、廣告用途的垃圾內容及連結。
請勿侵犯個人隱私權,將他人資料公開張貼在留言版內。
請勿重複留言(包括跨版重複留言)或發表與各文章主題無關的文章。
請勿張貼涉及未經證實或明顯傷害個人名譽或企業形象聲譽的文章。
您在留言版發表的內容需自負言論之法律責任,所有言論不代表PCDIY!雜誌立場,違反上述規定之留言,PCDIY!雜誌有權逕行刪除您的留言。
最近新增
- 中了勒索病毒!駭客要求比幣特幣交付贖金!資料救援專家名世科技,教你怎麼跟勒索病毒駭客斡旋解密救資料!
- Check Point Software:全球網路攻擊增加 42%,勒索軟體成國家級攻擊手段,區塊鏈及電子郵件持續淪為駭客目標,下半年恐將首度出現元宇宙攻擊
- 真是太Amazing了!台哥大自有品牌的手機A32、賣了兩年才發現有惡意軟體
- 超過30萬人一起改密碼?Soptify外部資料庫洩漏,緊急重置用戶密碼
- 可以、這很怠惰!2020年最糟密碼依然由「123456」奪冠
- 美國總統大選在即、微軟終於硬起來!摧毀意圖干擾選舉的惡意程式Trickbot伺服器
- 2.7GB的Windows XP原始碼疑似流出,聯袂43GB的多版本原始碼「大禮包」也在網路上流竄! 爆發資安隱憂!
- 高通Snapdragon晶片被發現400多個漏洞,讓10億台Android裝置陷入機敏資料被竊風險,官方已有解
- 駭客暗網已售出超過50萬組Zoom雲端會議服務的帳號,只賣1美分,有些還免費贈送!趕快更改密碼!
- 漏洞未平、駭客又起!AMD大量GPU IP遭駭客偷竊
- Intel CPU漏洞再修補一波,微軟推出Win10修補程式,玩家快下載!
- UL推出首款針對IoT裝置的安全評等,共5種認證等級標章,協助製造商與消費者為資安把關
最多人點閱
- 防毒軟體年終大特價,趨勢科技PC-cillin 2016雲端版本買一送一只要990元
- 中了勒索病毒!駭客要求比幣特幣交付贖金!資料救援專家名世科技,教你怎麼跟勒索病毒駭客斡旋解密救資料!
- WanaCrypt0r 2.0勒索病毒來襲,KB4012215更新程式與解毒程式下載安裝 – MS17-010系統漏洞攻擊救命仙丹!
- 震撼,Microsoft爆史上最嚴重出包》Windows Vista、7、8與8.1全中獎,安裝更新之後就得要修理或重灌!
- 震撼,被嫌史上最吵防毒軟體》業主請求協助刪除360安全衛士,以毒攻毒這哪招?
- 震撼!群暉NAS爆史上最嚴重漏洞》Synology NAS年初才爆挾持挖礦,鬼月又出脅迫逼付贖金
- 教授認證防毒軟體「360安全衛士」,引爆網友熱議!
- 防毒軟體殺很大》「趨勢科技PC-cillin 2016雲端版」價格砍到見骨,台幣200元有找真便宜!
- Chrome瀏覽器染毒!?釣魚網站假借調查之意行詐騙之實
- 老闆,我要買趨勢科技PC-cillin 2016雲端版!
- 105年報稅→104年度綜所稅,報稅五大須知,用PC-cillin 2016安全報稅
- 震撼,Microsoft出包沒修好臭蟲又爆新災情》網友氣炸爆Windows Update比病毒還可怕,視窗更新一波未平一波又起!