日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

　Check Point Research (CPR) 在高通移動基站調(diào)制解調(diào)器 (MSM) 中發(fā)現(xiàn)一個安全漏洞，全球近40% 的手機都使用該芯片進行蜂窩通信。該漏洞一旦遭到利用，攻擊者便可將 Android 操作系統(tǒng)本身用作切入點，向手機注入隱形惡意代碼，從而竊取對短消息和通話錄音的訪問權(quán)限。

　　? 谷歌、三星、LG、小米和 One Plus 的高端手機都使用高通 MSM

　　? 攻擊者還可以利用該漏洞解鎖移動設(shè)備的 SIM 卡

　　? CPR 已將該漏洞報告給高通，后者已確認和修復(fù)這一漏洞，并通知相關(guān)移動廠商

　　隨著全球智能手機用戶數(shù)量突破30 億 大關(guān)，移動廠商大力開展技術(shù)創(chuàng)新以改善設(shè)備。當今市場增長迅速，競爭激烈，廠商通常依賴高通等第三方生產(chǎn)手機軟硬件。

　　高通提供廣泛的可嵌入到設(shè)備中的芯片，40% 以上的手機都使用高通芯片，包括谷歌、三星、LG、小米和 OnePlus 的高端手機。2020 年8 月，Check Point Research (CPR) 在高通 Snapdragon DSP（數(shù)字信號處理器）芯片中發(fā)現(xiàn)了400 多個漏洞 ，這些漏洞對手機的可用性構(gòu)成了巨大威脅。

　　Check Point公司研究的初衷是增強廠商與用戶對漏洞相關(guān)潛在風險的認識。因此，在受影響的移動廠商找到規(guī)避上述潛在風險的全面解決方案之后，研究團隊再發(fā)布完整的技術(shù)詳情。CPR 將與相關(guān)政府機構(gòu)和移動廠商合作，幫助他們提高了手機安全性。

　　此次發(fā)現(xiàn)的新漏洞位于高通移動基站調(diào)制解調(diào)器 (MSM) 上，該系列片上系統(tǒng)（包括5G MSM）內(nèi)嵌在廣泛的移動設(shè)備中。5G 是繼4G/LTE 之后的下一代移動技術(shù)標準。自2019 年以來，世界各國都在大力開展5G 基礎(chǔ)設(shè)施建設(shè)。預(yù)計到2024 年，全球5G 用戶數(shù)量將達到19 億 。

　　什么是 MSM？

　　自20 世紀90 年代初以來，高通公司便一直為高端手機設(shè)計 MSM。它支持4G LTE 和高清錄像等高級特性。MSM 一直并將繼續(xù)是安全研究人員和網(wǎng)絡(luò)犯罪分子的重點目標。黑客始終想方設(shè)法遠程攻擊移動設(shè)備，例如通過發(fā)送短消息或精心設(shè)計的無線數(shù)據(jù)包與設(shè)備進行通信并控制設(shè)備。利用這些第三代合作伙伴計劃 (3GPP) 技術(shù)并不是入侵 MSM 的唯一切入點。

　　Android 也能夠通過 Qualcomm MSM 接口 (QMI) 與 MSM 芯片處理器進行通信，QMI 是一種專有協(xié)議，支持 MSM 中的軟件組件與設(shè)備上的其他外圍子系統(tǒng)（例如攝像頭和指紋掃描儀）進行通信。Counterpoint Technology Market Research 調(diào)查顯示，全球30% 的手機都采用了 QMI。然而，很少有人知道它還是一種潛在的攻擊向量。

　　利用 MSM 數(shù)據(jù)服務(wù)

　　CPR 發(fā)現(xiàn)，如果安全研究人員想要通過調(diào)制解調(diào)器調(diào)試器查找最新的5G 代碼，最簡單的方法是通過 QMI 利用 MSM 數(shù)據(jù)服務(wù)，網(wǎng)絡(luò)犯罪分子當然也可以這樣做。在調(diào)查過程中，我們在調(diào)制解調(diào)器數(shù)據(jù)服務(wù)中發(fā)現(xiàn)了一個可用于控制調(diào)制解調(diào)器的漏洞，并通過應(yīng)用處理器動態(tài)修復(fù)了該漏洞。

　　這意味著攻擊者可以利用此漏洞從 Android 向調(diào)制解調(diào)器注入惡意代碼，從而竊取設(shè)備用戶的通話記錄和短消息，以及監(jiān)聽設(shè)備用戶的對話。黑客還可以利用此漏洞解鎖設(shè)備的 SIM 卡，從而解除服務(wù)廠商對其施加的限制。

　　移動芯片研究的重大飛躍

　　CPR 認為，這項研究有望促使移動芯片研究熱點領(lǐng)域取得飛躍發(fā)展。我們希望此漏洞的發(fā)現(xiàn)將能夠減輕當今安全研究人員檢查調(diào)制解調(diào)器代碼的沉重負擔。

　　CPR 負責任地向高通公司披露了此次調(diào)查發(fā)現(xiàn)的信息，隨后高通公司確認了該漏洞，將其定義為高危漏洞（編號為 CVE-2020-11292），并通知了相關(guān)設(shè)備廠商。

　　給組織和手機用戶的建議

　　移動設(shè)備有著不同于傳統(tǒng)端點的威脅面。移動設(shè)備防護需遵循以下最佳安全實踐：

　　? 始終將移動設(shè)備更新至最新操作系統(tǒng)版本，以防漏洞利用。

　　? 僅安裝從官方應(yīng)用商店下載的應(yīng)用，以降低下載和安裝移動惡意軟件的可能性

　　? 在所有移動設(shè)備上啟用“遠程擦除”功能。所有設(shè)備都應(yīng)啟用遠程擦除功能，以最大程度地降低敏感數(shù)據(jù)丟失的風險。

　　? 在移動設(shè)備上安裝安全解決方案

　　Check Point 強烈建議組織使用移動安全解決方案保護移動設(shè)備上的企業(yè)數(shù)據(jù)。Check Point Harmony Mobile 可提供實時威脅情報和移動威脅可視性，以防它們對業(yè)務(wù)造成影響，同時也可針對本文提到的高通漏洞風險提供全面防護。