30%手机受影响！高通芯片再现高危漏洞

据数据显示，全球智能手机中有近1/3使用美国高通公司的芯片。如果该公司的芯片出现安全漏洞，那么这些智能机也将面临不小的危险。

近日，Check Point 公司研究报告披露称高通的移动站调制解调器（MSM）端口（QMI）存在一高危漏洞，该漏洞追踪名为CVE-2020-11292。

 

MSM 是高通公司设计的SoC（片上系统），从狭义角度来说它是信息系统核心的芯片集成，而QMI 是一个专有协议，用于移动站调制解调器中的软件组件和其他外围子系统（如相机等）之间的通信。

攻击者能够通过QMI接口向MSM组件发送格式错误的Type-Length-Value（TLV）数据包来触发错误。并通过该漏洞在MSM中注入恶意代码，远程控制Android设备，访问用户的通信记录，甚至直接窃听电话。

 

更可怕的是，该漏洞可被利用使得远程攻击隐藏在调制解调器芯片中，手机上的安全措施不会识别出来。

Check Point 去年发现该漏洞后，就向高通报告了该漏洞。高通也已经公开披露了该漏洞的存在，并于 2020 年 12 月发布了补丁修复程序。

漏洞时间轴（摘自Check Point研究报告）

但目前具体哪些手机厂商收到了补丁还未知，涉及的手机可能仍存在被攻击的风险。

据统计，QMI 在全球大约 30% 的手机中使用，包括Google Pixel、三星、LG、小米、一加等手机品牌或受到影响。

当然，去年高通芯片就被爆出过漏洞，其骁龙移动芯片组存在六个严重缺陷，手机易受到拒绝服务和权限升级的攻击。

专业人士建议，为保障隐私安全，各位 Android 用户最好更新至较新的系统版本确保可以接收到该漏洞的补丁。

业内21年老牌信息安全平台，邀你来分享！

推荐文章++++

* 5月10日，2021 KCTF 春季赛江湖见！

* 密码双保险！谷歌即将默认开启双因子登录认证

* Android 5月安全更新来了！修复42个漏洞：包括4个关键漏洞

* 好消息！Win 10文件历史记录备份故障解决了

* 谷歌隐私追踪新政策出炉，遭多方反对

* Mac 0day被利用，可绕过Gatekeeper！

* 隐私新政落地，苹果新方案引发争议

* 警惕！Nas设备正在受到Qlocker勒索软件攻击

﹀

﹀

﹀

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

球分享

球点赞

球在看

戳“阅读原文”一起来充电吧！

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
让资讯触达的更精准有趣：https://www.0xu.cn/