《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 高通芯片曝0day漏洞,可致安卓用户内存损坏

高通芯片曝0day漏洞,可致安卓用户内存损坏

2021-03-25
来源: FreeBuf
关键词: 高通芯片 0day漏洞

  在芯片紧缺的时候,高通芯片曝出了0day漏洞,这无疑是雪上加霜。

  3月23日,谷歌披露了一个影响使用高通芯片组的安卓终端0day漏洞,攻击者可以利用该漏洞定向发起攻击。目前,该漏洞已修复。

  该漏洞编号为CVE-2020-11261(CVSS评分8.4),和高通公司图形组件中的 “输入验证不当 ”问题有关。当攻击者设计的应用程序请求访问设备大容量内存时,该漏洞可能会被利用,从而引发内存损坏。

  谷歌在3月18日更新的1月安全公告中表示,“有迹象表明,该漏洞可能会被用于定向攻击。”在2020年7月20日,谷歌安卓安全团队发现该漏洞后汇报给了高通,并在2021年修复了该漏洞。

  值得庆幸是,该漏洞的访问形式是 “本地”,因此利用该漏洞需要对设备进行本地访问。换言之,攻击者需要对智能设备进行物理访问,或者使用水坑、恶意代码传播引发攻击链等其他手段。

  具体的攻击细节、“幕后黑手”和目标受害人尚未公布,防止该漏洞的后续利用。因为该漏洞本身的影响范围,所以用户需尽快进行安全更新,防止自己的安卓设备遭利用,泄露个人信息。

  研究人员建议用户尽快安装补丁,进行安全更新。

  这已经不是高通芯片第一次曝出安全漏洞了。在2020年8月,安全研究组织发现高通的DSP芯片存在400多个易受攻击的漏洞。一旦漏洞遭利用,则会有以下危害:

  攻击者可以将手机变成一个完美的间谍工具,无需任何用户操作。可以从手机中轻易获得包括照片、视频、通话录音、实时语言、GPS和位置数据等隐私信息。

  攻击者能够使手机持续无响应,使存储在手机上的所有信息永久无法使用(包括照片、视频、联系方式等)。

  恶意软件和其他恶意代码可以完全隐藏其活动,难以发现。

  

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。