研究人员发现全球主流移动设备芯片均存在安全漏洞
近期美国加利福利亚州大学 Santa Barbara 分校的安全研究人员透露全球主流移动芯片均含有高危安全漏洞。
涉及的厂商包括高通、华为、联发科以及英伟达公司, 这些厂商的移动芯片使用的芯片组均被发现安全漏洞。
同时这些漏洞主要位于移动芯片的引导程序中, 在研究人员发现的六个漏洞中有五个已经被确认为零日漏洞。
漏洞威胁程度非常高:
该安全团队通过自行开发的工具使用静态分析和动态执行来检测各个品牌的移动芯片固件中可能存在的问题。
其中在检测后发现了两个引导加载程序存在安全漏洞, 这些漏洞可以被用来获取 Root 权限以便于解锁设备。
同时还可以被用来在启动过程中中断信任链认证机制,该机制主要是操作系统启动时验证附加组建是否安全。
其中来自华为海思芯片组、联发科MTK芯片组、英伟达Tegra芯片组以及高通基于LK的引导程序均存在问题。
部分漏洞除了可以被黑客用于解锁设备外还可以执行任意代码甚至是用来充当肉鸡发起DDoS 拒绝服务攻击。
漏洞影响绝大多数移动设备:
目前高通芯片组在移动设备市场的占有率约有60%,而联发科以及华为海思芯片组也在非常多的设备上运行。
这意味着市场上绝大多数的移动设备都可能受到漏洞影响,好在这是安全团队发现的而不是恶意攻击者发现。
目前该安全团队已经将漏洞通报给了相关厂商并得到了确认,剩下的就看这些厂商什么时候以及如何修复了。