谷歌和其他Android製造商試圖在不同程度上保持對硬體和軟體安全的關注。但Check Point研究公司今天披露的廣泛使用的高通SoC中的一個漏洞尤其令人震驚。

理論上，它可能允許惡意應用程式修改高通公司MSM調變解調器晶片的軟體，使其能夠獲得通話和簡訊歷史記錄，甚至能夠實時錄製對話。

值得慶幸的是，大多數三星手機已經收到了修復該問題的補丁，其餘的也將在下個月進行更新。

Check Point對這個問題的分析是非常技術性的。但用通俗的話來說，在調變解調器的高通介面（QMI）軟體層和偵錯程式服務之間的連線中發現了漏洞，使其能夠動態修改軟體，繞過通常的安全機制。雖然標準的第三方應用程式不具備訪問QMI的安全許可權，但如果Android系統更關鍵的方面被破壞，就可以使用這種攻擊。

透過他們發現的漏洞，研究人員確定，一個惡意應用程式可以監聽和記錄正在進行的電話，獲得通話和簡訊記錄，甚至解鎖SIM卡。Check Point估計，所發現的QMI軟體存在於大約40%的智慧手機中，供應商包括三星、谷歌、LG、OnePlus、小米等。

三星很快就這個問題發表宣告，稱 “雖然一些三星裝置已經在2021年1月開始打了補丁，但大多數Android安全補丁級別為2021年5月1日或之後的三星裝置將被視為受到保護，不受所披露的漏洞影響”。該公司鼓勵機主在補丁出現後儘快安裝。

雖然這次攻擊的方法被廣泛描述，但具體的必要資訊在報告中被隱去，以防止任何人輕易複製這個過程。到目前為止，沒有跡象表明這種攻擊方法實際上是在外部被使用。

自從CPR在去年10月向其披露這一問題以來，高通公司已經意識到這一問題，並將其確認為一個高等級的漏洞，將其傳遞給使用其調變解調器的Android裝置製造商。在寫這篇文章時，該漏洞大體上還沒有被修復，但據推測，高通和谷歌都在努力將解決方案納入未來的安全補丁中。

高通公司已經就此事發布了宣告，全文如下：

提供支援強大安全和隱私的技術是高通公司的優先事項。我們讚揚來自Check Point的安全研究人員使用行業標準的協調披露做法。高通技術公司已經在2020年12月向OEM廠商提供了修復措施，我們鼓勵終端使用者在補丁可用時更新他們的裝置。

該代表接著說，“許多”Android OEM廠商已經向終端使用者釋出了相關的安全更新，而且沒有具體證據表明Check Point發現的漏洞被使用。

該漏洞將被納入6月份的Android安全公告中。