备注请放最后面 违者新闻文章删除
1.媒体来源:
※ 例如苹果日报、自由时报(请参考版规下方的核准媒体名单)
iThome
2.记者署名:
文/陈晓莉 | 2021-05-10发表
3.完整新闻标题:
高通芯片漏洞影响Google与三星等高阶机种在内的全球3成手机
4.完整新闻内文:
资安业者Check Point Research(CPR)本周揭露了一个藏匿在高通行动调制解调器Mobile
Station Modem(MSM)芯片的安全漏洞,此一编号为CVE-2020-11292的安全漏洞将允许骇
客存取手机短信或通话内容,估计波及全球30%的手机,涵盖来自Google、三星、LG、小
米与One Plus的高阶手机。
MSM为高通在1990年初期就发表的系统单芯片,所支援的行动技术从最早的2G、3G、4G到
现在的5G,而Android平台则可透过QMI接口与MSM处理器交流,QMI允许MSN中的软件元件
与装置上的周边子系统通讯,诸如相机或是指纹扫描器,而根据Counterpoint的统计,
QMI出现在全球30%的手机上。
QMI提供了各种不同的服务,例如Pixel 4所使用的MSM可输出约40种服务,涵盖无线资料
服务、装置管理服务、网络存取服务、无线传讯服务、声音服务或通讯录管理服务等,手
机制造商亦可添增自己的服务,例如LG就在它与 T-Mobile合作的手机上,嵌入了可解锁
SIM卡的特殊服务。
CPR发现,若一名安全研究人员打算导入一个调制解调器调试器,来探索最新的5G程式码,最
简单的方式就是借由QMI来开采MSM的资料服务,对骇客而言也是如此。
此一资料服务漏洞可用来控制该调制解调器芯片,还能自应用程式处理器动态地嵌入程式码,
这代表骇客可从Android平台上把恶意程式码注入MSM,进而存取使用者的通话历史纪录与
短信,还能窃听使用者的通话,或者是解锁装置SIM卡。
CPR是在去年8月就将该漏洞提交给高通,而根据Ars Technica的报导,高通已于去年12月
修补完成,修补程式也已送到装置制造商手上,只是装置制造商的修补时程不一,此外,
Google预计于今年6月的Android安全公告中修补此一漏洞。
5.完整新闻连结 (或短网址):
https://www.ithome.com.tw/news/144272
6.备注:
※ 一个人三天只能张贴一则新闻,被删或自删也算额度内,超贴者水桶,请注意
※ 备注请勿张贴三日内新闻(包含连结、标题等)
快更新!