國外網絡安全公司 Check Point 日前發表報告,揭露 4 個涉及臺灣晶片製造商聯發科技(MediaTek)系統單晶片(SoC)的安全問題,報告指出指聯發科的聲訊處理器韌體存在安全漏洞,惡意應用程式能藉此竊聽,全球恐有 37% 智能手機及 IoT 裝置受到影響。聯發科最新的天璣(Dimensity)處理器,也在受影響晶片之列。
研究人員在取得相關零組件,並對驅動數位訊號處理器(DSP)的韌體進行逆向工程後,發現問題出在聯發科的語音 DSP 處理器。漏洞可讓惡意的 Android 軟體升級權限,直接傳送訊息給聲訊 DSP 韌體。低階韌體碼沒有太多安全編碼,記憶體可被複寫,並在接獲訊息時挾持智慧手機。其中幾個漏洞可以透過 Android 手機發動攻擊,惡意人士成功利用漏洞在目標裝置上載入程式後,便可竊聽裝置上的所有語音資料。
根據 Check Point 的說法,聯發科技已在今年 10 月修補了上述的 4 個安全漏洞,相信 Android 手機在完成自動安全更新以後,大部分的用戶都能夠受到保護。聯發科產品安全長 Tiger Hsu 表示,有關 Check Point 揭露的聲訊 DSP 弱點,正努力確認問題,並提供所有 OEM 商恰當的改善措施,強調沒有證據顯示有心人士正利用這些漏洞。
資料來源:Check Point
— unwire.hk Mewe 專頁 : https://mewe.com/p/unwirehk
