小米 Miui Hellas 的新闻
主页 » 所有的新闻 » 新闻 » 新闻稿 » 联发科 SoC 安全漏洞允许在 Android 智能手机上拦截对话
新闻稿

联发科 SoC 安全漏洞允许在 Android 智能手机上拦截对话

检查点研究标志

Η 检查点研究(CPR), 其研究团队 Check Point软件, 指出其芯片中的安全漏洞 联发科处理器 在全球 37% 的智能手机中都有发现。


Α如果这些漏洞没有得到修复,黑客就可以利用这些漏洞窃听 Android 用户,并在他们的设备上隐藏恶意代码。

Η 检查点研究(CPR) 发现台湾公司芯片智能手机芯片中的安全漏洞, 联发科. 她的筹码 联发科 位于 全球 37% 的智能手机 并作为几乎所有著名 Android 设备的主处理器,包括 小米、OPPO、Realme、 Vivo 和别的。 芯片的音频处理器中已发现安全漏洞,如果不加以检查,漏洞可能会让黑客窃听 Android 用户和/或隐藏恶意代码。


历史

她的筹码 联发科 包含一个特殊的处理单元 人工智能 (APU) 和一个数字音频信号处理器(DSP) 以提高多媒体性能并降低 CPU 使用率。 两个都 APU 多达 DSP音频 具有定制的微处理器架构,使其 联发科DSP 安全研究的一个独特而困难的目标。 这 心肺复苏术 开始担心到什么程度 联发科DSP 可以用作肇事者的攻击工具。 这是第一次, 心肺复苏术 设法做到了 逆向工程 其音频处理器 联发科,揭示了几个安全漏洞。

攻击方法

为了利用漏洞,理论上,威胁代理的操作顺序如下:

  1. 用户从 Play 商店安装恶意应用程序并启动它
  2. 该应用程序使用联发科 API 攻击有权访问音频驱动程序的库
  3. 权限应用程序将编辑后的消息发送到音频驱动程序以执行音频处理器固件中的代码
  4. 应用程序窃取音频流

负责任的披露

CPR 已正式向联发科披露其调查结果,结果如下: CVE-2021-0661, CVE-2021-0662, CVE-2021-0663. 这三个漏洞随后得到纠正并发布在 联发科 2021 年 XNUMX 月安全公告. 中的安全问题 联发科音频 HAL (CVE-2021-0673) 已于 XNUMX 月更正,并将在其安全公告中发布 联发科十二月2021.

CPR 还将其调查结果告知小米。

Check Point Software 安全研究员 Slava Makkaveev 的评论:

众所周知,联发科拥有最流行的移动设备芯片。 鉴于它在世界上无处不在,我们开始怀疑它可能被潜在的黑客用作载体。 我们开始研究技术,这导致发现了一系列漏洞,这些漏洞可能被用来从 Android 应用程序访问和攻击芯片音频处理器。 如果任其发展,黑客可能会利用漏洞窃听 Android 用户的对话。 此外,设备制造商本身可能会利用安全漏洞来发起大规模的窃听活动。

虽然我们没有看到任何此类滥用的具体证据,但我们迅速采取行动,将我们的发现传达给了 联发科小米. 简而言之,我们已经证明了一种可能滥用 Android API 的全新攻击媒介。 我们向 Android 社​​区传达的信息是将他们的设备更新到最新的安全更新,以保护他们。 这 联发科 与我们一起努力确保这些安全问题得到及时纠正,我们感谢他们的合作和精神,让世界更安全。

MediaTek 产品安全官 Tiger Hsu 的评论:

设备安全是其所有平台的关键要素和优先事项 联发科. 至于他的脆弱 音频DSP 由 Check Point 透露,我们努力验证问题并向所有 OEM 制造商提供适当的补救措施。 我们没有证据表明发生了剥削事件。

我们鼓励用户在修复程序可用时更新他们的设备,并且仅从受信任的站点(例如 Google Play 商店)安装应用程序。 我们重视与 Check Point 研究团队的合作,让联发科产品生态系统更加安全。

有关更多信息,请参阅: 联发科产品安全.

新闻稿


小米团队不要忘记关注它 小米miui.gr 谷歌新闻 立即获悉我们所有的新文章! 如果您使用 RSS 阅读器,您也可以通过点击此链接将我们的页面添加到您的列表中 >> https://news.xiaomi-miui.gr/feed/gn

 

跟着我们 Telegram 让您第一时间了解我们的每一条消息!

 

阅读

发表评论

* 使用此表格即表示您同意在我们的页面上存储和分发您的消息。

本网站使用 Akismet 来减少垃圾评论。 了解如何处理您的反馈数据.

发表评论

小米 Miui Hellas
希腊的小米和 MIUI 官方社区。
阅读
Netflix 本月初推出了 Netflix Games,并且……