Android 手機因高通晶片安全漏洞而有隱私外漏風險

android-security-1

資訊安全研究公司 Check Point Research 發現一個存在高通(Qualcomm)晶片的漏洞,可能讓 Android 手機曝露於電話被竊聽的風險。

資訊安全研究公司 Check Point Research 所發布的一份研究報告中,針對 2020 年在高通 Mobile Station Modem (MSM) 晶片中所發現的漏洞披露細節,其中有些晶片用於 5G 裝置。

這個漏洞存在於高通的 MSM 介面(QMI)。QMI 是一種專屬協定,支援 MSM 中的軟體元件與裝置週邊子系統(例如相機和指紋辨識器)進行通訊。駭客利用此漏洞將惡意程式碼寫入 MSM,便可存取裝置的通話記錄及 SMS 簡訊,甚至還能監聽使用者的電話內容,並解鎖手機 SIM 卡以竊取更多隱私資料。

Check Point Research 去年(2020 年)10 月已向高通公司通報此漏洞,高通將此漏洞編號為 CVE-2020-11292 並通知所有 Android 手機供應商,且已於去年 12 月提供修補程式給手機供應商。

不過,Check Point Research 發言人 Ekram Ahmed 提醒,此修補程式並非自動應用,手機製造商必須自行應用此修補程式,主動推送至使用者手上,才能有效杜絕攻擊。很難確定哪些廠商確實已使用修補程式。根據經驗,修補程式需要一些時間才能全面應用到所有手機上,這意味著,仍有許多 Android 手機尚未更新,面臨被攻擊的風險。

目前全球約有 40% 手機使用 MSM 晶片進行蜂巢式通訊(Cellular Communication),大部分為 Android 手機,如 Google、三星、LG、小米和 OnePlus 手機。iPhone 手機則未受影響。