如果說，全球缺芯持續(xù)，從汽車企業(yè)、手機(jī)廠商蔓延到家電行業(yè)，打擊企業(yè)產(chǎn)品的生產(chǎn)進(jìn)度，帶來生產(chǎn)成本提高，間接影響到消費(fèi)者。那么，芯片安全漏洞問題則將直接對(duì)用戶的各種隱私和數(shù)據(jù)造成嚴(yán)重沖擊。

高通繼因產(chǎn)能問題，芯片延期交貨 7 個(gè)月以后，又出現(xiàn)新一輪危機(jī)。

五一假期后，海外安全公司 Check Point Research 發(fā)現(xiàn)高通公司調(diào)制解調(diào)器（MSM）芯片中的漏洞，調(diào)制解調(diào)器芯片主要負(fù)責(zé)手機(jī)通信功能，具有 2G、3G、4G、5G 功能的片上系統(tǒng)（單個(gè)芯片上集成一個(gè)完整體系）。

也就是說，用戶用手機(jī)發(fā)短信、打電話、上網(wǎng)都需要調(diào)制解調(diào)器芯片，而一旦調(diào)制解調(diào)器芯片出現(xiàn)漏洞，黑客或者網(wǎng)絡(luò)攻擊者可以通過 Android 手機(jī)系統(tǒng)，利用這些漏洞進(jìn)行攻擊，注入惡意、不可見的代碼。

當(dāng)被黑客盯上后，用戶的短信、通話記錄、通話信息，甚至解鎖移動(dòng)設(shè)備上的用戶識(shí)別模塊，存儲(chǔ)用戶網(wǎng)絡(luò)身份驗(yàn)證信息以及聯(lián)系方式。

據(jù)悉，網(wǎng)絡(luò)公開數(shù)據(jù)顯示，全球市場中約 40% 的手機(jī)使用高通芯片，這些手機(jī)廠商包括谷歌、三星、小米、OPPO、vivo、一加等手機(jī)品牌。這意味著，全球近一半的手機(jī)用戶，有可能面臨隱私泄露，手機(jī)被遠(yuǎn)程監(jiān)視、凍結(jié)，數(shù)據(jù)丟失的風(fēng)險(xiǎn)。

手機(jī)芯片漏洞究竟是怎么回事？是否只要通過軟件補(bǔ)丁修復(fù)后，便可輕而易舉解決風(fēng)險(xiǎn)？泄露事件或許沒有那么樂觀，更可能根本無法解決。

這不是高通第一次出現(xiàn)芯片漏洞。

2020 年，在 DEFCON 全球黑客大會(huì)上一項(xiàng)研究顯示，高通公司移動(dòng)芯片中存在六個(gè)嚴(yán)重漏洞，將影響數(shù)以萬計(jì)的 Android 智能手機(jī)和平板電腦。網(wǎng)路安全研究人員還發(fā)現(xiàn)，漏洞主要是高通的 DSP 芯片（數(shù)字信號(hào)處理器），DSP 負(fù)責(zé)將語音、視頻、GPS 位置傳感器等服務(wù)轉(zhuǎn)換為可計(jì)算的數(shù)據(jù)，控制著用戶 Android 系統(tǒng)和高通處理器硬件之間的實(shí)時(shí)請(qǐng)求處理。

DSP 存在缺陷的話，黑客可以任意搜集、訪問用戶的照片、視頻、通話記錄，以及麥克風(fēng)的實(shí)時(shí)數(shù)據(jù)、GPS 位置信息等等。

設(shè)想一下，一位用戶外出所在地點(diǎn)信息，以及拍攝的照片、視頻，甚至是和別人用麥克風(fēng)通話內(nèi)容，都能被遠(yuǎn)程的黑客、網(wǎng)絡(luò)攻擊者了解的一清二楚。嚴(yán)重時(shí)，黑客可能破壞目標(biāo)手機(jī)，遠(yuǎn)程打開用戶麥克風(fēng)，植入手機(jī)根本無法檢測到的惡意軟件，發(fā)起拒絕服務(wù)的攻擊，將手機(jī)凍結(jié)，隨意使用手機(jī)上的數(shù)據(jù)。

值得注意的是，高通 DSP 芯片上的易攻擊代碼多達(dá) 400 多個(gè)，廠商、用戶只要沒有任何干預(yù)措施，手機(jī)就可能變成「間諜工具」。

但最近一次與 2020 年不同，高通的漏洞則出現(xiàn)在了調(diào)制解調(diào)器芯片上。

如前文所述，調(diào)制解調(diào)器負(fù)責(zé)手機(jī)的通信功能，打個(gè)比方，現(xiàn)在市面上的手機(jī)逐漸升級(jí)為 5G 手機(jī)，手機(jī) 5G 性能、接收信號(hào)等功能很大程度上取決于調(diào)制解調(diào)器芯片的性能。

與 DSP 芯片漏洞相同，黑客通過 Android 系統(tǒng)向調(diào)制解調(diào)器芯片植入惡意代碼，網(wǎng)絡(luò)犯罪分子可以輕松探索廠商最新的 5G 代碼。注入代碼的芯片位置不同，影響的功能不同。

比如，調(diào)制解調(diào)器芯片主要側(cè)重于手機(jī)通話功能，訪問用戶呼叫歷史，監(jiān)聽用戶對(duì)話，解鎖手機(jī) SIM 卡，逾越電信運(yùn)營商的管控。

不管怎樣這些芯片漏洞都將對(duì)用戶隱私數(shù)據(jù)安全、財(cái)產(chǎn)安全產(chǎn)生極大影響。有人說，芯片企業(yè)通過發(fā)布漏洞補(bǔ)丁完全可以避免這些漏洞被網(wǎng)絡(luò)上的不法犯罪分子所利用，但事實(shí)上，執(zhí)行起來卻并不容易。

芯片漏洞被第三方機(jī)構(gòu)公布后，高通拒絕表態(tài)，而是發(fā)布了一則聲明稱，高通正在驗(yàn)證問題并為 OEM 廠商提供適當(dāng)?shù)木彌_措施，目前尚沒有證據(jù)表明這些漏洞正在被利用，當(dāng)然，高通鼓勵(lì)用戶更新設(shè)備補(bǔ)丁。

高通的聲明變相承認(rèn)了這些高危漏洞的存在。其實(shí)，2020 年的 DSP 芯片漏洞早在第三方攻擊機(jī)構(gòu)發(fā)現(xiàn)前，高通就已注意到，并在同年 7 月份開發(fā)了關(guān)于破解某些 WPA2 加密的無線網(wǎng)絡(luò)的補(bǔ)丁，接著在 12 月份，再次發(fā)布某些漏洞的補(bǔ)丁程序。

但即便高通發(fā)布了補(bǔ)丁程序，效果也不會(huì)盡如人意。

引用 Check Point 研究負(fù)責(zé)人 Yaniv Balmas 的表述，「這些芯片漏洞使得全球數(shù)億臺(tái)手機(jī)裸奔，修復(fù)這些手機(jī)是不可能實(shí)現(xiàn)的任務(wù)。」

一方面，這些補(bǔ)丁主要面向升級(jí)新 Android 系統(tǒng)的用戶，舊 Android 版本用戶不受保護(hù)。Stat Counter 數(shù)據(jù)顯示，全球大約 19% 的 Android 手機(jī)運(yùn)行谷歌在 2018 年 8 月發(fā)布的 Android Pie 9.0 操作系統(tǒng)，超 9% 用戶的手機(jī)則運(yùn)行的是谷歌 2017 年 12 月發(fā)布的 Android 8.1 Oreo 操作系統(tǒng)。相當(dāng)一部分 Android 手機(jī)用戶是舊版本。

另一方面，高通僅僅是整個(gè)芯片安全危機(jī)事件鏈條上的一個(gè)環(huán)節(jié)，還需要 OEM 廠商即手機(jī)廠商，谷歌的配合。高通需要在芯片和運(yùn)營的硬件上先進(jìn)行漏洞修復(fù)，再交付給手機(jī)廠商，或者將修復(fù)程序交由手機(jī)廠商們。

高通完成漏洞修復(fù)補(bǔ)丁還不夠，手機(jī)廠商如何確保將補(bǔ)丁集成到正在組裝或者正在市場上流通的手機(jī)中，具有極大不確定性。眾所周知，手機(jī)廠商更新系統(tǒng)較慢，比如，2019 年谷歌發(fā)布穩(wěn)定版本的 Android 10 后，絕大部分用戶需要至少一年才能過渡到新的手機(jī)系統(tǒng)上。如手機(jī)版本過低或服務(wù)政策差異，部分手機(jī)甚至不能更新最新系統(tǒng)。而谷歌盡管作為手機(jī)系統(tǒng)開發(fā)商，但并不能直接為手機(jī)用戶更新最新系統(tǒng)和補(bǔ)丁。

以 DSP 芯片為例，DSP 芯片就像手機(jī)的「黑匣子」，除了芯片制造商之外，其他人很難檢測它的工作原理，安全工作人員很難對(duì)它們進(jìn)行測試。所以，DSP 芯片上很可能存在許多成熟的、未知的安全漏洞。

同時(shí)，DSP 芯片承載了現(xiàn)代手機(jī)的很多創(chuàng)新性功能，包括手機(jī)快充、多媒體功能，極容易被黑客盯上。退一步來說，即便用戶升級(jí)了手機(jī)，對(duì)其漏洞進(jìn)行了修復(fù)也不能解決問題。

2021 年高通的芯片漏洞出現(xiàn)在調(diào)制解調(diào)器芯片上，與 DSP 相比，調(diào)制解調(diào)器的復(fù)雜性有過之而無不及，它擁有上千行代碼，有理由相信，兩三年前的舊代碼會(huì)存在現(xiàn)行新芯片模型上，黑客完全可以以舊代碼作為突破口，攻擊、竊取手機(jī)信息。

鑒于解決芯片漏洞越來越像一項(xiàng)不可能完成的任務(wù)，作為用戶，要么更換到手機(jī)操作系統(tǒng)和芯片均來自自家開發(fā)且生態(tài)系統(tǒng)較為封閉的蘋果手機(jī)陣營，要么，提防一切不明來源的應(yīng)用程序下載與安裝。在一定程度上，安卓手機(jī)廠商，包括芯片廠商、手機(jī)廠商、操作系統(tǒng)廠商都應(yīng)該視用戶的數(shù)據(jù)安全為第一位，共同找到可以平衡各方利益的安全解決方案。

總結(jié)

以上是生活随笔為你收集整理的5G手机还没用上 芯片的漏洞先出来了 问题或无解的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。