情境示意圖,圖片來源/高通

資安業者Check Point Research(CPR)本周揭露了一個藏匿在高通行動數據機Mobile Station Modem(MSM)晶片的安全漏洞,此一編號為CVE-2020-11292的安全漏洞將允許駭客存取手機簡訊或通話內容,估計波及全球30%的手機,涵蓋來自Google、三星、LG、小米與One Plus的高階手機。

MSM為高通在1990年初期就發表的系統單晶片,所支援的行動技術從最早的2G、3G、4G到現在的5G,而Android平臺則可透過QMI介面與MSM處理器交流,QMI允許MSN中的軟體元件與裝置上的周邊子系統通訊,諸如相機或是指紋掃描器,而根據Counterpoint的統計,QMI出現在全球30%的手機上。

QMI提供了各種不同的服務,例如Pixel 4所使用的MSM可輸出約40種服務,涵蓋無線資料服務、裝置管理服務、網路存取服務、無線傳訊服務、聲音服務或通訊錄管理服務等,手機製造商亦可添增自己的服務,例如LG就在它與 T-Mobile合作的手機上,嵌入了可解鎖SIM卡的特殊服務。

CPR發現,若一名安全研究人員打算導入一個數據機調試器,來探索最新的5G程式碼,最簡單的方式就是藉由QMI來開採MSM的資料服務,對駭客而言也是如此。

此一資料服務漏洞可用來控制該數據機晶片,還能自應用程式處理器動態地嵌入程式碼,這代表駭客可從Android平臺上把惡意程式碼注入MSM,進而存取使用者的通話歷史紀錄與簡訊,還能竊聽使用者的通話,或者是解鎖裝置SIM卡。

CPR是在去年8月就將該漏洞提交給高通,而根據Ars Technica的報導,高通已於去年12月修補完成,修補程式也已送到裝置製造商手上,只是裝置製造商的修補時程不一,此外,Google預計於今年6月的Android安全公告中修補此一漏洞。


熱門新聞

Advertisement