台北讯，2021 年 5 月 18 日】全球网络安全解决方案领导厂商 （NASDAQ股票代码：CHKP）在高通 MSM （Mobile Station Modem）芯片中发现一个安全性漏洞，目前全球约 40% 手机皆使用此芯片进行蜂巢式通讯（Cellular Communication）；攻击者可利用此漏洞将 Android 操作系统作为入口，在手机内安装恶意程序代码或隐形病毒，以存取短信和通话音档。

这款高通嵌入式芯片应用于市面上约40% 的手机，包括 Google、三星、LG、小米和一加（OnePlus）的高阶手机。2020 年 8 月，Check Point Research 也曾在高通的 DSP 芯片中发现了 400 多个漏洞，对于手机的使用构成巨大威胁。

本次发现的新漏洞位于高通 MSM 芯片上，为一系列内嵌于手机的 SoC（系统单芯片），支持 4G LTE 和高画质录像等进阶功能，目前也有5G 版本。由于骇客一直不断试图从远端攻击行动装置，如发送短信或精心设计的无线电封包（Radio Packet）与装置进行通讯，并夺取控制权，因此 MSM 芯片一直是资安研究和网络犯罪分子关注的焦点。

除此之外，Android 系统也能够透过高通的 QMI（Qualcomm MSM Interface） 与 MSM 芯片处理器进行通讯；QMI 是一种专属协定，支持 MSM 中的软件元件与装置上的周边子系统（例如相机和指纹辨识器）进行通讯。Counterpoint Research 调查显示，全球 30% 手机皆采用了 QMI，却少有人知其为一种潜在的攻击手法。

若资安研究人员想要通过调制解调器调试器（Modem Debugger）查找最新的 5G 代码，最简单的方式就是透过 QMI 利用 MSM 芯片的资料服务，而网络犯罪分子也可以采用此方法。Check Point Research 于调制解调器资料服务中发现了一个可用于控制调制解调器，以及从应用程序处理器动态嵌入程序代码的漏洞，代表攻击者可利用此漏洞从 Android 系统向调制解调器安装恶意程序代码，窃取使用者的通话记录和短信，并监听装置使用者的对话。骇客还可以利用此漏洞解锁手机 SIM 卡，解除电信商的设定。

Check Point Research 立即向高通揭露了此研究结果，高通确认后将其定义为高危险漏洞，并已通知相关厂商及告知此漏洞编号为 CVE-2020-11292。

给企业和手机使用者的建议

行动装置有著别于传统端点的威胁表面（Threat Surface），建议遵循以下原则以有效防护装置安全：

Ÿ   将行动装置更新至最新版本的操作系统，以防漏洞遭利用。

Ÿ   仅安装从官方应用程序商店下载的 App，减少下载和安装行动恶意软件的可能性。

Ÿ   在所有行动装置上启用“远端清除”（Remote Wipe）功能，以最大程度地降低敏感资料丢失的风险。

Ÿ   在行动装置上安装安全解决方案。

Check Point 强烈建议企业使用行动装置安全解决方案来保护资料安全，像是 Check Point Harmony Mobile 能提供实时威胁情报及威胁可视性，以预防它们对于业务带来的影响，同时全面防护本文提及的高通芯片漏洞。

欲了解更多信息，请由此查看。

关注Check Point

Facebook：

Twitter：
部落格：
YouTube：
LinkedIn：

关于Check Point Software Technologies Ltd.

）是全球领先的政府与企业网络安全解决方案供应商。Check Point Infinity 的解决方案组合以领先业界的恶意软件、勒索软件与其他攻击手法拦截率，有效保护企业和公家机关免于第五代网络攻击。“Infinity”的三大核心支柱可于各类企业环境中提供全面防护与针对第五代网络攻击的进阶威胁防护：专为远距办公而生的 Check Point Harmony、提供自动化云端防护的 Check Point CloudGuard、以及用于保护网络边界和资料中心的 Check Point Quantum。Check Point 以最全面、最直观的单点控制安全管理系统，为超过 10 万家各种规模的企业提供安全防护。

关于 Check Point Research

Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。Check Point 研究团队负责搜集和分析 ThreatCloud 储存的全球网络攻击数据，以便在防范骇客时，确保所有 Check Point 产品都享有最新保护措施。此外，该团队由 100 多名分析师和研究人员组成，能够与其他安全厂商、执法机关及各个计算机安全应急机关展开合作。

本文由:竞博体育app下载安卓-APP 提供