來源：新浪VR

近日，有網(wǎng)絡(luò)安全人員表示，他們在芯片業(yè)巨頭高通旗下的驍龍?zhí)幚砥髦邪l(fā)現(xiàn)了6個嚴(yán)重的潛在漏洞，這讓很多Android設(shè)備都暴露在網(wǎng)絡(luò)攻擊的風(fēng)險中。具體來說，這些漏洞分別為：CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208以及CVE-2020-11209，它們都屬于權(quán)限提升或者DoS漏洞，攻擊者一旦成功掌握就能輕易對目標(biāo)設(shè)備擁有完全控制權(quán)。

具體來說，這些漏洞是在驍龍芯片中的Hexagon數(shù)字信號處理器里（下稱DSP）被發(fā)現(xiàn)的。要知道，DSP是負(fù)責(zé)控制Android用戶和驍龍?zhí)幚砥鞴碳g實(shí)時請求的重要組件，它能把例如GPS定位、視頻和語音等服務(wù)轉(zhuǎn)化為用于計算的數(shù)據(jù)。

據(jù)了解，這些DSP組件漏洞可以被黑客用來收集用戶的隱私信息，包括GPS定位、實(shí)時麥克風(fēng)數(shù)據(jù)、通話錄音、視頻和相片等，同時它還會導(dǎo)致用戶在不知情的情況下被植入惡意軟件。更重要的是，要做到這些并不難：黑客只需誘騙用戶下載和運(yùn)行一個而已可執(zhí)行文件就可以，而這夜是大部分網(wǎng)絡(luò)木馬得逞的最佳手段。 

從技術(shù)手段上說，只要黑客成功得逞，就能在目標(biāo)設(shè)備上創(chuàng)造永久的DOS狀態(tài)，直到用戶將設(shè)備恢復(fù)原廠設(shè)置為止；另外，黑客還能利用DSP內(nèi)核崩潰來重啟目標(biāo)手機(jī)，而目前的手機(jī)防毒軟件并不會掃描Hexagon的指令集，所以黑客能輕易地將惡意代碼隱藏在DSP中。

據(jù)相關(guān)人士透露，高通目前已經(jīng)開發(fā)出了修復(fù)補(bǔ)丁，但其他OEM廠商推送該補(bǔ)丁的進(jìn)度則快慢不一，就連Android的開發(fā)方——業(yè)內(nèi)巨頭Google也遲遲沒有行動。