以色列網(wǎng)絡(luò)安全公司 Checkpoint 的研究人員 Slava Makkaveev 表示，其在高通公司移動站調(diào)制解調(diào)器(Mobile Station Modem，MSM)接口發(fā)現(xiàn)了一個安全缺陷，可影響全球范圍內(nèi)數(shù)百萬部手機(jī);該接口被稱為 QMI(Qualcomm MSM Interface)。

我們在一個調(diào)制解調(diào)器數(shù)據(jù)服務(wù)中發(fā)現(xiàn)了一個漏洞，可以用來控制調(diào)制解調(diào)器，并從應(yīng)用處理器中對其進(jìn)行動態(tài)修補(bǔ)。攻擊者可以利用這樣的漏洞，從安卓系統(tǒng)向調(diào)制解調(diào)器注入惡意代碼。這使攻擊者能夠訪問用戶的通話記錄和短信，并能夠監(jiān)聽用戶的對話。黑客可以利用這個漏洞來解鎖 SIM 卡，從而克服服務(wù)提供商對移動設(shè)備的限制。

MSM 是高通公司從 20 世紀(jì) 90 年代初開始設(shè)計的具有 2G/3G/4G/5G 功能的片上系統(tǒng)(SoC)的一個持續(xù)系列;一直以來，MSM 都是安全研究領(lǐng)域的熱門研究目標(biāo)。QMI 是一個專有協(xié)議，用于在調(diào)制解調(diào)器中的軟件組件與其他外圍子系統(tǒng)之間進(jìn)行通信。數(shù)據(jù)顯示，QMI 在全球大約 30% 的手機(jī)中進(jìn)行了使用，包括有谷歌 Pixel、LG、一加、三星 Galaxy 系列和小米。

[[398729]]

去年 10 月，Checkpoint 告知了高通該漏洞的存在。然后高通公司將該漏洞追蹤為 CVE-2020-11292，并將其標(biāo)記為“high rated vulnerability”。 高通發(fā)言人表示，相關(guān)補(bǔ)丁已于 2020 年秋季發(fā)送給了各大智能手機(jī)制造商。“我們贊揚(yáng)來自 Check Point 的安全研究人員使用行業(yè)標(biāo)準(zhǔn)的協(xié)調(diào)披露做法。高通技術(shù)公司已經(jīng)在 2020 年 12 月向 OEM 廠商提供了修復(fù)方案，我們鼓勵終端用戶在補(bǔ)丁可用時更新他們的設(shè)備。”

高通方面指出，所有制造商都在 2020 年 10 月被告知了該漏洞的存在，并在 2020 年 12 月前提供了修復(fù)方案，因此許多制造商已經(jīng)向終端用戶發(fā)布了安全更新。發(fā)言人指出，該漏洞還將在 6 月發(fā)布在 Android 公開公告中。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：高通 MSM 曝高危漏洞，影響全球約 30% 移動手機(jī)

本文地址：https://www.oschina.net/news/140988/qualcomm-msm-vulnerability