全球網路安全解決方案領導廠商Check Point® Software Technologies Ltd.(NASDAQ股票代碼:CHKP)近期對數位訊號處理器(Digital Signal Processor,DSP)製造商高通公司進行了廣泛的安全評估,從測試的 DSP 晶片中發現了超過 400 個漏洞。高通在手機晶片市場有高達40%的市占率,客戶包括 Google、三星、LG、小米和 OnePlus等高階手機廠商,是手機晶片的產業巨擘。 DSP是一個整合了軟體與硬體設計的系統單晶片(SoC),用來優化和支援裝置的各項使用功能,包括快速充電功能、高解析度拍攝與進階擴增實境等多媒體體驗功能以及音訊功能。幾乎所有現代手機都包含至少一個這樣的晶片,手機廠商可以自由選擇這些「微型電腦」來搭配原有功能,例如影像處理和神經網路相關運算,並將這些功能應用於可相容的框架上。 雖然 DSP 晶片提供了一種相對經濟實惠的解決方案,讓手機使用者擁有更多創新功能,但這些晶片也為行動裝置帶來了可能遭到駭客攻擊的新漏洞。對非製造商的人來說,檢查 DSP 晶片設計、功能或代碼都是一件極其複雜的事,因此他們通常將其作為「黑盒子」來管理,這便是DSP 晶片的脆弱面所在。 這些DSP晶片漏洞可能對手機使用者產生下列影響: • 駭客可以將使用者的手機變成完美的間諜工具,在不需使用者的互動下散布手機中的照片、影片、通話記錄、即時麥克風音檔、GPS 和位置資料等資訊。 • 駭客可利用漏洞讓手機呈現無法回應的狀態,導致手機中儲存的照片、影片和聯絡人資訊變得永遠無法使用。 • 在手機中的惡意軟體和其他惡意程式碼可完全隱藏活動軌跡,並且無法被刪除。
Check Point持續研究確認漏洞來源,維護DSP晶片生態系安全 Check Point立即向高通揭露了此研究結果,並獲得高通方面的確認。高通已通知相關廠商並告知以下漏洞,包括:CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208 和 CVE-2020-11209。在手機廠商針對上述潛在風險開發出全面的解決方案之前,Check Point Research 暫時不發佈這些漏洞的完整技術細節。 由於DSP晶片具有「黑盒子」的特性,手機廠商很難修復漏洞,必須由晶片製造商來解決。有鑑於此,我們才對目前市面上最常用的晶片-高通驍龍進行詳細的評估與深入調查。 我們利用有效的研究方法和先進的模糊測試技術克服這樣的問題,並獲得了有關 DSP 晶片內部情況的專業洞察,進而有效評估晶片的安全控制、確認其弱點來源。 Check Point希望藉由新聞發布,引起大家對這些問題的重視,並為DSP 晶片生態系建立更優越、更安全的環境,提供安全社群定期晶片安全狀態檢查所必要的知識和工具。除了上報相關政府機構外,我們也即時通知了與我們合作此研究的手機廠商,協助他們提高手機的安全性。此外,我們為可能受這些風險影響的企業提供了20個免費的SandBlast行動管理設備免費許可,協助他們在發表本研究報告後的 6 個月內不受到任何潛在的損害。 我們也強烈建議企業使用行動安全解決方案來保護行動裝置上的公司資料。SandBlast Mobile可提供即時威脅情報和行動威脅可視性,以防它們對業務造成影響,同時也可針對本文提到的高通漏洞提供全面性保護。 如欲瞭解更多該研究相關資訊,請觀看我們在 DEFCON 線上會議上的示範影片。 關注Check Point Facebook:https://www.facebook.com/checkpoint.tw/ Twitter:http://www.twitter.com/checkpointsw 部落格:http://blog.checkpoint.com YouTube:http://www.youtube.com/user/CPGlobal LinkedIn:https://www.linkedin.com/company/check-point-software-technologies 關於Check Point Software Technologies Ltd. Check Point Software Technologies Ltd. (www.checkpoint.com) 是全球領先的政府與企業網路安全解決方案供應商,能夠保護客戶免於遭受第五代網路攻擊,對惡意軟體、勒索軟體與其他攻擊類型的攔截率領先業界其他廠商。Check Point 提供多層式安全架構、「Infinity」全面防護與針對第五代網路攻擊的進階威脅防護,來保護企業放置於雲端、網路與行動裝置上的資訊。Check Point提供最全面、最直觀的單點控制安全管理系統,並為超過 10 萬家各種規模的企業組織提供防禦措施。 關於 Check Point Research Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網路威脅情報。Check Point 研究團隊負責蒐集和分析 ThreatCloud 儲存的全球網路攻擊數據,以便在防範駭客時,確保所有 Check Point 產品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執法機關及各個計算機安全應急機關展開合作。 - 新聞稿有效日期,至2020/09/13為止
聯絡人 :王玟雅 聯絡電話:+ 886-2-7718-7777*529 電子郵件:Wendy@apexpr.com.tw
上一篇:甲骨文以卓越的雲端技術引領亞洲市場, 為企業發展注入動能
下一篇:博讯头条-亚洲G2E推迟2次后 最新宣布年内不举办
|