高通晶片有漏洞 恐让全球30％ Android手机面临窃听风险

高通旗下晶片漏洞被发现，可能影响全球30% Android手机。（达志影像／Shutterstock提供）

资讯安全研究公司CheckPoint公司指出，他们发现了一个存在高通（Qualcomm）晶片的漏洞，很可能导致全球多达30%的Android手机面临被骇客从远端攻击的可能性，甚至可能还可窃听电话！令人不寒而栗。

CheckPoint近期发表文章指出，他们发现了一个存在于高通Mobile Station Modem (MSM) 介面中的漏洞。MSM所研发的系统单晶片（SoC），而其中让modem与外围软体组件沟通的则是QMI协议，该漏洞（CVE-2020-11292）被发现存在QMI之中。这项漏洞很可能影响深远，因为高通早在2G时代就在使用MSM，而根据CheckPoint统计，QMI则估计被用于全球30%的Android手机之中，包含了Google Pixel、LG手机、一加（One Plus）手机、小米手机以及三星Galaxy系列手机等。

CheckPoint指出，从本质上来说，骇客可以透过上述的QMI协议漏洞，透过恶意程序或是伪装成木马的Android应用程序，从远端来攻击使用者的设备。而利用这个漏洞的恶意程序可以把自己「隐藏」在Modem晶片之中，手机当前具备的安全措施都无法发现它。因为被植入恶意代码，骇客有可能获取使用者的通话记录、简讯内容，并且窃听电话。为了避免骇客利用这个漏洞，CheckPoint并未完整分享与漏洞有关所有技术细节。

CheckPoint表示，高通已针对上述漏洞释出安全修补程式，也通知了所有的Android合作厂商。不过CheckPoint的发言人指出，很难确认哪一个品牌或哪一款手机已经安装了针对这项漏洞的安全修补程式。这项工作很需要时间，而在那之前仍旧有很多手机将面临上述漏洞而导致的风险。