Check Point發(fā)現了這些漏洞，他們表示，要利用這些漏洞，惡意行為者只需說(shuō)服其目標即可安裝簡(jiǎn)單，沒(méi)有任何權限的應用程序即可。

Check Point網(wǎng)絡(luò )研究負責人Yaniv Balmas說(shuō)，這些漏洞使受影響的智能手機有被接管并用來(lái)監視和跟蹤其用戶(hù)的風(fēng)險，安裝并隱藏了惡意軟件和其他惡意代碼，甚至被完全封鎖。

盡管它們已經(jīng)以負責任的方式向高通披露，并已告知相關(guān)供應商并發(fā)出了一些警報– CVE-2020-11201，CVE-2020-11202，CVE-2020-11206，CVE-2020-11207，CVE -2020-11208和CVE-2020-11209 。Balmas警告說(shuō)，問(wèn)題的嚴重范圍可能需要幾個(gè)月甚至幾年的時(shí)間才能解決。

他說(shuō)：“盡管高通已經(jīng)解決了這個(gè)問(wèn)題，但這還不是故事的結局�！� “數以?xún)|計的電話(huà)面臨這種安全風(fēng)險。您可以被監視。您可能會(huì )丟失所有數據。我們的研究顯示了移動(dòng)世界中復雜的生態(tài)系統。由于每部手機都集成了很長(cháng)的供應鏈，因此在手機中發(fā)現深層隱藏的問(wèn)題并非易事，但修復這些問(wèn)題也并非易事。

“幸運的是，這次我們能夠發(fā)現這些問(wèn)題。但是我們認為完全緩解它們將花費數月甚至數年。如果惡意攻擊者發(fā)現并使用了這些漏洞，那么將有數千萬(wàn)的手機用戶(hù)在很長(cháng)一段時(shí)間內幾乎無(wú)法保護自己�！�

Balmas補充說(shuō)：“現在，廠(chǎng)商應將這些補丁集成到制造和市場(chǎng)中的整個(gè)電話(huà)線(xiàn)中。我們估計，所有供應商都需要一段時(shí)間才能將補丁集成到他們的所有手機中�！�

他說(shuō)，DSP漏洞代表了網(wǎng)絡(luò )犯罪分子的“嚴重”新攻擊前沿，為受影響的設備引入了新的攻擊面和薄弱環(huán)節。這是因為DSP芯片被高通公司稱(chēng)為“黑匣子”，除高通公司之外的任何人都要審查其設計，功能或代碼可能非常復雜。這使他們特別容易受到風(fēng)險的影響。

Balmas表示，目前，Check Point并不認為發(fā)布漏洞的技術(shù)細節是負責任的行動(dòng)，因為使用這些細節創(chuàng )建漏洞的風(fēng)險很高。

他說(shuō)：“目前，消費者必須等待相關(guān)廠(chǎng)商也實(shí)施修復程序�！� “ Check Point通過(guò)我們的移動(dòng)防護解決方案為這些漏洞提供了防護�！�

Balmas和他的團隊在一篇名為DSP Gate的論文中概述了他們對高通公司芯片的研究，該論文在Def Con 2020上發(fā)表，由于Covid-19大流行，該論文今年在網(wǎng)上運行，稱(chēng)為Def Con安全模式。

高通發(fā)言人表示：“提供支持強大安全性和隱私性的技術(shù)是高通公司的首要任務(wù)。關(guān)于Check Point披露的Qualcomm Compute DSP漏洞，他們進(jìn)行了認真的工作以驗證問(wèn)題并為OEM提供適當的緩解措施。我們沒(méi)有證據表明它目前正在被利用。我們鼓勵最終用戶(hù)在補丁可用時(shí)更新其設備，并僅從受信任的位置（例如Google Play商店）安裝應用程序�！�