5G 手机还没用上，芯片的缝隙先出来了

liukang20242周前 (05-16)718吃瓜941

如果说，全球缺芯继续，从汽车企业、手机厂商蔓延到家电行业，冲击企业产品的出产进展，带来出产成本进步，直接影响到顾客。那么，芯片安全缝隙问题则将直接对用户的各种隐私和数据形成严峻冲击。

高通继因产能问题，芯片延期交货 7 个月今后，又呈现新一轮危机。

五一假日后，海外安全公司 Check Point Research 发现高通公司调制解调器（MSM）芯片中的缝隙，调制解调器芯片首要担任手机通讯功用，具有 2G、3G、4G、5G 功用的片上体系（单个芯片上集成一个完好体系）。

也就是说，用户用手机发短信、打电话、上网都需求调制解调器芯片，而一旦调制解调器芯片呈现缝隙，黑客或许网络进犯者能够经过 Android 手机体系，运用这些缝隙进行进犯，注入歹意、不行见的代码。

当被黑客盯上后，用户的短信、通话记录、通话信息，乃至解锁移动设备上的用户辨认模块，存储用户网络身份验证信息以及联系方式。

据悉，网络揭露数据显现，全球商场中约 40% 的手机运用高通芯片，这些手机厂商包含谷歌、三星、小米、OPPO、vivo、一加等手机品牌。这意味着，全球近一半的手机用户，有或许面对隐私走漏，手机被长途监督、冻住，数据丢掉的危险。

手机芯片缝隙究竟是怎么回事？是否只需经过软件补丁修正后，便可垂手可得处理危险？走漏事情或许没有那么达观，更或许底子无法处理。

手机芯片缝隙影响规模包含 5G 手机 | 视觉我国

缝隙百出

这不是高通第一次呈现芯片缝隙。

2020 年，在 DEFCON 全球黑客大会上一项研讨显现，高通公司移动芯片中存在六个严峻缝隙，将影响数以万计的 Android 智能手机和平板电脑。网路安全研讨人员还发现，缝隙首要是高通的 DSP 芯片（数字信号处理器），DSP 担任将语音、视频、GPS 方位传感器等服务转换为可计算的数据，操控着用户 Android 体系和高通处理器硬件之间的实时恳求处理。

DSP 存在缺点的话，黑客能够恣意收集、拜访用户的相片、视频、通话记录，以及麦克风的实时数据、GPS 方位信息等等。

想象一下，一位用户外出地址地址信息，以及拍照的相片、视频，乃至是和他人用麦克风通话内容，都能被长途的黑客、网络进犯者了解的一览无余。严峻时，黑客或许损坏方针手机，长途翻开用户麦克风，植入手机底子无法检测到的歹意软件，建议回绝服务的进犯，将手机冻住，随意运用手机上的数据。

值得注意的是，高通 DSP 芯片上的易进犯代码多达 400 多个，厂商、用户只需没有任何干涉办法，手机就或许变成「特务东西」。

但最近一次与 2020 年不同，高通的缝隙则呈现在了调制解调器芯片上。

如前文所述，调制解调器担任手机的通讯功用，打个比方，现在市面上的手机逐步晋级为 5G 手机，手机 5G 功用、接纳信号等功用很大程度上取决于调制解调器芯片的功用。

与 DSP 芯片缝隙相同，黑客经过 Android 体系向调制解调器芯片植入歹意代码，网络犯罪分子能够轻松探究厂商最新的 5G 代码。注入代码的芯片方位不同，影响的功用不同。

比方，调制解调器芯片首要侧重于手机通话功用，拜访用户呼叫前史，监听用户对话，解锁手机 SIM 卡，跨越电信运营商的管控。

不管怎样这些芯片缝隙都将对用户隐私数据安全、产业安全发生极大影响。有人说，芯片企业经过发布缝隙补丁完全能够防止这些缝隙被网络上的不法犯罪分子所运用，但事实上，执行起来却并不简单。

问题或无解

芯片缝隙被第三方组织发布后，高通回绝表态，而是发布了一则声明称，高通正在验证问题并为 OEM 厂商供给恰当的缓冲办法，现在尚没有依据标明这些缝隙正在被运用，当然，高通鼓舞用户更新设备补丁。

高通的声明变相承认了这些高危缝隙的存在。其实，2020 年的 DSP 芯片缝隙早在第三方进犯组织发现前，高通就已注意到，并在同年 7 月份开发了关于破解某些 WPA2 加密的无线网络的补丁，接着在 12 月份，再次发布某些缝隙的补丁程序。

但即使高通发布了补丁程序，作用也不会尽善尽美。

引证 Check Point 研讨担任人 Yaniv Balmas 的表述，「这些芯片缝隙使得全球数亿台手机裸奔，修正这些手机是不行能完结的使命。」

一方面，这些补丁首要面向晋级新 Android 体系的用户，旧 Android 版别用户不受维护。Stat Counter 数据显现，全球大约 19% 的 Android 手机运转谷歌在 2018 年 8 月发布的 Android Pie 9.0 操作体系，超 9% 用户的手机则运转的是谷歌 2017 年 12 月发布的 Android 8.1 Oreo 操作体系。适当一部分 Android 手机用户是旧版别。

另一方面，高通仅仅是整个芯片安全危机事情链条上的一个环节，还需求 OEM 厂商即手机厂商，谷歌的合作。高通需求在芯片和运营的硬件上先进行缝隙修正，再交交给手机厂商，或许将修正程序交由手机厂商们。

高通完结缝隙修正补丁还不行，手机厂商怎么保证将补丁集成到正在拼装或许正在商场上流转的手机中，具有极大不确定性。众所周知，手机厂商更新体系较慢，比方，2019 年谷歌发布安稳版别的 Android 10 后，绝大部分用户需求至少一年才干过渡到新的手机体系上。如手机版别过低或服务方针差异，部分手机乃至不能更新最新体系。而谷歌虽然作为手机体系开发商，但并不能直接为手机用户更新最新体系和补丁。

更重要的是，芯片的复杂性决议了缝隙不行能「彻底治愈」。

以 DSP 芯片为例，DSP 芯片就像手机的「黑匣子」，除了芯片制造商之外，其他人很难检测它的作业原理，安全作业人员很难对它们进行测验。所以，DSP 芯片上很或许存在许多老练的、不知道的安全缝隙。

一起，DSP 芯片承载了现代手机的许多立异性功用，包含手机快充、多媒体功用，极简单被黑客盯上。退一步来说，即使用户晋级了手机，对其缝隙进行了修正也不能处理问题。

2021 年高通的芯片缝隙呈现在调制解调器芯片上，与 DSP 比较，调制解调器的复杂性有过之而无不及，它具有上千行代码，有理由信任，两三年前的旧代码会存在现行新芯片模型上，黑客完全能够以旧代码作为突破口，进犯、盗取手机信息。

鉴于处理芯片缝隙越来越像一项不行能完结的使命，作为用户，要么替换到手机操作体系和芯片均来自自家开发且生态体系较为关闭的苹果手机阵营，要么，防范全部不明来历的应用程序下载与装置。在必定程度上，安卓手机厂商，包含芯片厂商、手机厂商、操作体系厂商都应该视用户的数据安全为第一位，一起找到能够平衡各方利益的安全处理方案。

责任编辑：靖宇

图片来历：视觉我国

告发/反应