高通芯片出现漏洞这事儿已经不止一次两次了。
援引以色列信息安全研究公司Check Point的披露称,最近又有四个存在于Android上新型漏洞与高通手机处理器的图形处理芯片和内核模块有关。同时,因为这些漏洞和高通推出的处理器新品有关,所以据Check Point公司估计,全球将会有超过9亿台的Android设备可能存在安全风险。
在今年的5月份,美国网络安全公司FireEye也向外界披露了高通芯片带进Android设备的另一个漏洞。更为可怕的是,这一芯片级的漏洞竟然已经存在了长达五年之久。而今年3月份谷歌发布的Android安全补丁中,高通所暴露出来的芯片漏洞可以让黑客轻松对手机实施Root。Root对于Android手机来说,大致相当于一个人的免疫系统被彻底破坏。
为何“躺枪”的总是高通芯片?
作为移动芯片厂商中的老大哥高通,旗下的骁龙系列芯片可以算是占据了Android手机阵营的大半壁江山,这为高通赚来可观利润的同时,也成为了不少黑客“照顾”的对象。
就像文章开头所说的芯片漏洞,几乎所有知名品牌的Android设备都受到其威胁,比如三星Galaxy S7/Edge,Google Nexus 5X、Nexus 6P,HTC One、M9、10以及LG G4、G5、V10等等。黑莓最近发布的,号称最安全的Android手机DETK50也同样未能幸免。
一旦黑客们找到高通芯片上的漏洞,即便是出现一个很小的漏洞,它也足以让高通公司、手机设备商们以及用户们紧张。没办法,基数大,“躺枪”的概率也自然少不了,动不动便波及数以亿计的Android手机设备也不是啥新鲜事儿。
除去“目标”最明显的高通外,联发科家的芯片同样也曾被曝光出有安全漏洞。
今年一月份就曾有媒体报道称,部分使用MTK芯片的Android智能手机和平板电脑被发现存在漏洞,可致使设备受到安全攻击。通过利用该漏洞,攻击者将可获取到设备中的隐私数据,甚至是远程监控所有网络活动。
相比系统漏洞,芯片漏洞危害更严重
相比更为常见的系统(软件)上的漏洞,手机芯片暴露出的漏洞问题在严重性上要远超过前者。芯片漏洞会“潜伏”在一些软件中,趁机获取手机的Root权限,将用户的隐私资料进行泄露。在某些严重的情况下,甚至还有机会直接接管用户手机的所有功能,不管是GPS、摄像头还是麦克风。
而且与系统(软件)的漏洞不同,芯片漏洞更具广泛性和普遍性。比如说,某款软件被黑客植入了漏洞,但用户没有在自己的手机上没有进行安装,就可以避免受到该漏洞的攻击。但对于芯片漏洞来说,基本是百分之百“中招”。要是高通骁龙820处理器出现了芯片级漏洞,那所有搭载这一处理器的Android手机都可能会受影响,它才不管你是三星还是LG。
像高通、联发科这样的移动芯片出厂大户,芯片漏洞危害不仅对自己的企业形象有影响,还会让手机生产商处于尴尬境地,用户也极有可能会因为这样的芯片漏洞遭受财产上的损失等。
修复漏洞容易,但用户不一定能及时更新
发现漏洞后进行相应的修复,其实对于芯片厂商来说并不是困难事儿。主要是难在如何将修复漏洞的补丁及时送达至用户的设备上。
要想将芯片厂商提供补丁安装到用户的设备上,其实还需要一个比较冗长的程序:
芯片厂商---->谷歌(Android)---->你的设备生产商---->你的通信运营商---->远程为你的设备安装补丁
又由于Android生态的碎片化,各家设备生产商所使用的芯片和集成硬件不同,所以修复芯片漏洞补丁不能以通用的方式下发给用户。这些补丁先是由谷歌分发给合作的手机厂商(手机厂商也可向谷歌索取),再由手机厂商进行测试,最后通过自家ROM进行升级推送,这也就导致大部分手机都做不到及时更新最新补丁。
即便是高通、联发科们马不停蹄地发布漏洞补丁,但无奈最终安装到用户设备上的整个流程需要花费不少的时间。
堵漏洞需要多方努力
芯片厂商应重视产品所出现的安全漏洞并进行积极修复,及时推出修复补丁并说明该(这些)漏洞出现的原因以及解决办法。
手机生产商方面需要发挥积极配合的作用,如有发现芯片级安全漏洞要及时向芯片厂商发出预警,并对用户进行相关安全漏洞提醒;在芯片厂商放出修复补丁后,需要积极进行具体的产品适配及测试,之后通过OTA等方式向用户推送修复更新。
而对于普通用户来讲,首先应在购买Android时优先选择一些国内外知名厂商推出的新品,即便在今后的使用过程中出现了一些安全漏洞,至少可以在系统补丁方面能获得一个较快的更新。其次,在手机使用过程中,尽量避免下载、安装一些来路不明的应用程序,最大程度地降低安全风险;如果手机中出现有系统方面的更新,尽早进行升级,同样也可以起到防范芯片漏洞的作用。
本文来源:不详 作者:佚名