新聞

國內 IC 設計公司修復 Android 手機晶片竊聽漏洞,影響 30% Android 裝置

2021 / 11 / 29
編輯部
國內 IC 設計公司修復 Android 手機晶片竊聽漏洞,影響 30% Android 裝置
台灣的大型 IC 設計公司日前發表資安通報,修復一系列存於其 Andoird 手機處理器內的漏洞,這些漏洞可能導致駭侵者竊聽手機通話、執行任意程式碼、提升執行權限等。

這一系列漏洞最早是由資安廠商 Check Point 發現,其中有三個漏洞 CVE-2021-0662、CVE-2021-0663、CVE-2021-0664 已於 2021 年 10 月修復,另一個漏洞 CVE-2021-0673 將在下個月的更新中修復。

資安專家指出,該公司的手機處理器,在處理音訊的設計上,是交給一個獨立的「數位信號處理器」(Digital Signal Processor, DSP)來負責,以便提升音質,同時降低對 CPU 的負荷。

資安專家說,音訊驅動程式與 CUP,在將音訊處理工作交給 DSP 時,並非直接溝通,而是透過 IPI 訊息轉傳給系統控制處理器(System control processor, SCP);這一系列漏洞就發生在這段過程,使得惡意程式碼可以在音訊晶片上執行其程式碼。

Check Point 的資安專家,利用逆向工程解析之後,指出駭侵者將可利用這一系列漏洞進行執行權限提升,甚至可以執行任意程式碼,並且竊取用戶的 Android 手機通話內容及各種機敏資訊。

資安專家表示,雖然該公司已經推出修復程式,但由於採用此處理器的 Android 手機數量非常龐大,許多機種又屬於較老舊或較小規模廠商的產品,可能早已停止其手機作業系統的更新,因此將會有許多用戶的手機無法修補這些漏洞。
  • CVE編號:CVE-2021-0661 等
  • 影響產品(版本):各型採用該公司處理器的 Android 手機
  • 解決方案:安裝各手機廠商推出之最新作業系統更新版(如有提供)

本文轉載自TWCERT/CC。。