信息來源:中國信息產(chǎn)業(yè)網(wǎng)
作為移動芯片廠商中的老大哥高通,旗下的驍龍系列芯片可以算是占據(jù)了Android手機陣營的大半壁江山���,這為高通賺來可觀利潤的同時���,也成為了不少黑客“照顧”的對象。
高通芯片出現(xiàn)漏洞這事兒已經(jīng)不止一次兩次了���。
援引以色列信息安全研究公司Check Point的披露稱���,最近又有四個存在于Android上新型漏洞與高通手機處理器的圖形處理芯片和內(nèi)核模塊有關(guān)。同時���,因為這些漏洞和高通推出的處理器新品有關(guān)���,所以據(jù)Check Point公司估計,全球?qū)谐^9億臺的Android設備可能存在安全風險���。
在今年的5月份���,美國網(wǎng)絡安全公司FireEye也向外界披露了高通芯片帶進Android設備的另一個漏洞���。更為可怕的是,這一芯片級的漏洞竟然已經(jīng)存在了長達五年之久���。而今年3月份谷歌發(fā)布的Android安全補丁中���,高通所暴露出來的芯片漏洞可以讓黑客輕松對手機實施Root。Root對于Android手機來說���,大致相當于一個人的免疫系統(tǒng)被徹底破壞���。
為何“躺槍”的總是高通芯片?
作為移動芯片廠商中的老大哥高通���,旗下的驍龍系列芯片可以算是占據(jù)了Android手機陣營的大半壁江山���,這為高通賺來可觀利潤的同時,也成為了不少黑客“照顧”的對象���。
就像文章開頭所說的芯片漏洞,幾乎所有知名品牌的Android設備都受到其威脅���,比如三星Galaxy S7/Edge���,Google Nexus 5X���、Nexus 6P,HTC One���、M9���、10以及LG G4、G5���、V10等等���。黑莓最近發(fā)布的,號稱最安全的Android手機DETK50也同樣未能幸免���。
一旦黑客們找到高通芯片上的漏洞���,即便是出現(xiàn)一個很小的漏洞,它也足矣讓高通公司���、手機設備商們以及用戶們緊張���。沒辦法���,基數(shù)大,“躺槍”的概率也自然少不了���,動不動便波及數(shù)以億計的Android手機設備也不是啥新鮮事兒���。
除去“目標”最明顯的高通外,聯(lián)發(fā)科家的芯片同樣也曾被曝光出有安全漏洞���。
今年一月份就曾有媒體報道稱���,部分使用MTK芯片的Android智能手機和平板電腦被發(fā)現(xiàn)存在漏洞,可致使設備受到安全攻擊���。通過利用該漏洞���,攻擊者將可獲取到設備中的隱私數(shù)據(jù),甚至是遠程監(jiān)控所有網(wǎng)絡活動���。
相比系統(tǒng)漏洞���,芯片漏洞危害更嚴重
相比更為常見的系統(tǒng)(軟件)上的漏洞,手機芯片暴露出的漏洞問題在嚴重性上要遠超過前者���。芯片漏洞會“潛伏”在一些軟件中���,趁機獲取手機的Root權(quán)限,將用戶的隱私資料進行泄露���。在某些嚴重的情況下���,甚至還有機會直接接管用戶手機的所有功能,不管是GPS���、攝像頭還是麥克風���。
而且與系統(tǒng)(軟件)的漏洞不同,芯片漏洞更具廣泛性和普遍性���。比如說���,某款軟件被黑客植入了漏洞���,但用戶沒有在自己的手機上沒有進行安裝,就可以避免受到該漏洞的攻擊���。但對于芯片漏洞來說���,基本是百分之百“中招”。要是高通驍龍820處理器出現(xiàn)了芯片級漏洞���,那所有搭載這一處理器的Android手機都可能會受影響���,它才不管你是三星還是LG。
像高通���、聯(lián)發(fā)科這樣的移動芯片出廠大戶���,芯片漏洞危害不僅對自己的企業(yè)形象有影響,還會讓手機生產(chǎn)商處于尷尬境地���,用戶也極有可能會因為這樣的芯片漏洞遭受財產(chǎn)上的損失等���。
修復漏洞容易���,但用戶不一定能及時更新
發(fā)現(xiàn)漏洞后進行相應的修復,其實對于芯片廠商來說并不是困難事兒���。主要是難在如何將修復漏洞的補丁及時送達至用戶的設備上。
要想將芯片廠商提供補丁安裝到用戶的設備上���,其實還需要一個比較冗長的程序:
芯片廠商----》谷歌(Android)----》你的設備生產(chǎn)商----》你的通信運營商----》遠程為你的設備安裝補丁
又由于Android生態(tài)的碎片化���,各家設備生產(chǎn)商所使用的芯片和集成硬件不同,所以修復芯片漏洞補丁不能以通用的方式下發(fā)給用戶���。這些補丁先是由谷歌分發(fā)給合作的手機廠商(手機廠商也可向谷歌索?��。儆墒謾C廠商進行測試���,最后通過自家 ROM 進行升級推送���,這也就導致大部分手機都做不到及時更新最新補丁���。
即便是高通、聯(lián)發(fā)科們馬不停蹄地發(fā)布漏洞補丁���,但無奈最終安裝到用戶設備上的整個流程需要花費不少的時間���。
堵漏洞需要多方努力
芯片廠商應重視產(chǎn)品所出現(xiàn)的安全漏洞并進行積極修復,及時推出修復補丁并說明該(這些)漏洞出現(xiàn)的原因以及解決辦法���。
手機生產(chǎn)商方面需要發(fā)揮積極配合的作用���,如有發(fā)現(xiàn)芯片級安全漏洞要及時向芯片廠商發(fā)出預警,并對用戶進行相關(guān)安全漏洞提醒���;在芯片廠商放出修復補丁后���,需要積極進行具體的產(chǎn)品適配及測試,之后通過OTA等方式向用戶推送修復更新���。
而對于普通用戶來講���,首先應在購買Android時優(yōu)先選擇一些國內(nèi)外知名廠商推出的新品���,即便在今后的使用過程中出現(xiàn)了一些安全漏洞,至少可以在系統(tǒng)補丁方面能獲得一個較快的更新���。其次���,在手機使用過程中,盡量避免下載���、安裝一些來路不明的應用程序,最大程度地降低安全風險���;如果手機中出現(xiàn)有系統(tǒng)方面的更新���,盡早進行升級,同樣也可以起到防范芯片漏洞的作用���。
