北京時間 11 月 25 日訊息,安全廠商 Check Point 今天披露,由聯發科設計的片上系統音訊處理韌體存在一處安全漏洞,惡意應用可以秘密將使用者手機“變成”監聽工具。
Check Point 估計,全球 37% 的智慧手機存在這一漏洞。Check Point 從一部執行 Android 11、配置天璣 800U 晶片的紅米 Note 9 5G 手機中獲取了聯發科晶片的控制元件。
據 Check Point 稱,許可權不高的惡意 Android應用,可以利用這一缺陷,以及聯發科和手機廠商系統軟體、驅動程式碼的“疏忽”,提升許可權,直接向音訊處理韌體傳送訊息。由於缺乏相應安全措施,韌體的記憶體可以被覆蓋,執行收到的訊息中的指令。
Check Point 安全研究人員斯拉瓦・馬卡維夫(Slava Makkaveev)稱,“鑑於聯發科晶片很流行,我們認為它可能成為潛在黑戶發動攻擊的通道。” 惡意應用可以對晶片程式設計,使裝置成為竊聽工具、執行秘密應用。
聯發科認為這些安全漏洞尚未被駭客利用,並已經向手機廠商釋出補丁軟體。
