以色列資安公司Check Point近日發布一份報告,披露了一系列曾經存在聯發科晶片當中,不過已於今年10月修復的漏洞。該報告聲稱,他們在聯發科晶片中發現的漏洞,可能導致全球37%的智慧型手機、IoT設備面臨被竊聽的風險。
Check Point的研究人員聲稱,包括天璣晶片在內,聯發科的晶片使用了特殊的AI處理單元(APU)及數位訊號處理器(DSP),可以降低CPU的使用率,然而卻卻被發現可能成為駭客入侵用戶設備的管道。
根據《富比士》報導,駭客必須先透過在手機或IoT設備上植入惡意軟體等方式進入聯發科的音效組件,成功後便能將惡意程式植入記憶體之中,藉此竊聽用戶設備上聲音訊號。
擁有43%市占率,聯發科被披露可讓駭客竊聽用戶的資安漏洞
Check Point在報告中,利用小米Note 9 5G演示了如何利用該漏洞入侵手機,並竊取設備上的聲音訊號,該手機使用聯發科天璣800U晶片。
只不過該漏洞本身相當複雜,其實並不是很容易利用,過程必須對許多軟體進行逆向工程,最終才能利用音效組件上的漏洞入侵設備。聯發科已於今年10月修復了遭披露的一系列漏洞,而Check Point則建議用戶沒有接收到更新的話,請主動聯繫製造商。
Check Point資安研究人員斯拉瓦.瑪卡維夫(Slava Makkaveev)表示,如果沒有推出修復更新的話,駭客很可能會利用這些漏洞來竊聽Android用戶的對話。Check Point發現該漏洞後便向聯發科、Google及小米回報,讓廠商得以即時更新填補漏洞。
也因為該漏洞較為複雜,倘若你的手機是使用聯發科晶片也不必太過擔心。聯發科產品安全長Tiger Hsu透露,他們沒有發現該漏洞遭到有心人士利用的跡象。
「關於Check Point揭露的DPS漏洞,我們已確認問題,並向所有代工客戶提供解決措施。」Tiger Hsu表示,「目前沒有證據顯示該漏洞遭到利用,我們建議所有用戶即時安裝更新,且只安裝源自Google Play等可靠來源的App。」
聯發科目前是全球最大的手機晶片廠商。根據Counterpoint的資料,聯發科從2020年第三季開始,便以33%對27%超車高通成為全球手機SoC晶片組的最大供應商。
今年第二季的資料中,聯發科市占率更達到43%,遠遠超越高通的24%穩坐龍頭寶座,其天璣700系列晶片在5G領域佔據領導地位。另外,聯發科也預計今年底以前能在美國取得20%的市占率。
聯發科並非首度爆出資安漏洞,2019年時也曾被開發人員發現處理器漏洞,可用於獲得root權限,該漏洞也在去年3月發布的更新中修復。諸如此類的漏洞也曾在高通晶片上出現過,Check Point去年曾公佈高通的行動數據機晶片(MSM)上存有400多項有資安移動的漏洞,可能殃及全球全球40%的手機用戶。
資料來源:Forbes、GSMARENA、Android police
責任編輯:錢玉紘
