以色列网络安全公司 Checkpoint 的研究人员 Slava Makkaveev 表示,其在高通公司移动站调制解调器(Mobile Station Modem,MSM)接口发现了一个安全缺陷,可影响全球范围内数百万部手机;该接口被称为 QMI(Qualcomm MSM Interface)。
我们在一个调制解调器数据服务中发现了一个漏洞,可以用来控制调制解调器,并从应用处理器中对其进行动态修补。攻击者可以利用这样的漏洞,从安卓系统向调制解调器注入恶意代码。这使攻击者能够访问用户的通话记录和短信,并能够监听用户的对话。黑客可以利用这个漏洞来解锁 SIM 卡,从而克服服务提供商对移动设备的限制。
MSM 是高通公司从 20 世纪 90 年代初开始设计的具有 2G/3G/4G/5G 功能的片上系统(SoC)的一个持续系列;一直以来,MSM 都是安全研究领域的热门研究目标。QMI 是一个专有协议,用于在调制解调器中的软件组件与其他外围子系统之间进行通信。数据显示,QMI 在全球大约 30% 的手机中进行了使用,包括有谷歌 Pixel、LG、一加、三星 Galaxy 系列和小米。
去年 10 月,Checkpoint 告知了高通该漏洞的存在。然后高通公司将该漏洞追踪为 CVE-2020-11292,并将其标记为“high rated vulnerability”。 高通发言人表示,相关补丁已于 2020 年秋季发送给了各大智能手机制造商。“我们赞扬来自 Check Point 的安全研究人员使用行业标准的协调披露做法。高通技术公司已经在 2020 年 12 月向 OEM 厂商提供了修复方案,我们鼓励终端用户在补丁可用时更新他们的设备。”
高通方面指出,所有制造商都在 2020 年 10 月被告知了该漏洞的存在,并在 2020 年 12 月前提供了修复方案,因此许多制造商已经向终端用户发布了安全更新。发言人指出,该漏洞还将在 6 月发布在 Android 公开公告中。
本文转自OSCHINA
本文标题:高通 MSM 曝高危漏洞,影响全球约 30% 移动手机
本文地址:https://www.oschina.net/news/140988/qualcomm-msm-vulnerability
