谷歌和其他Android製造商試圖在不同程度上保持對硬件和軟件安全的關注。但Check Point研究公司今天披露的廣泛使用的高通SoC中的一個漏洞尤其令人震驚。理論上，它可能允許惡意應用程序修改高通公司MSM調製解調器芯片的軟件，使其能夠獲得通話和短信歷史記錄，甚至能夠實時錄製對話。

值得慶幸的是，大多數三星手機已經收到了修復該問題的補丁，其餘的也將在下個月進行更新。

Check Point對這個問題的分析是非常技術性的。但用通俗的話來說，在調製解調器的高通接口（QMI）軟件層和調試器服務之間的連接中發現了漏洞，使其能夠動態修改軟件，繞過通常的安全機制。雖然標準的第三方應用程序不具備訪問QMI的安全權限，但如果Android系統更關鍵的方面被破壞，就可以使用這種攻擊。

通過他們發現的漏洞，研究人員確定，一個惡意應用程序可以監聽和記錄正在進行的電話，獲得通話和短信記錄，甚至解鎖SIM卡。Check Point估計，所發現的QMI軟件存在於大約40%的智能手機中，供應商包括三星、谷歌、LG、OnePlus、小米等。

三星很快就這個問題發表聲明，稱”雖然一些三星設備已經在2021年1月開始打了補丁，但大多數Android安全補丁級別為2021年5月1日或之後的三星設備將被視為受到保護，不受所披露的漏洞影響”。該公司鼓勵機主在補丁出現後儘快安裝。

雖然這次攻擊的方法被廣泛描述，但具體的必要信息在報告中被隱去，以防止任何人輕易複製這個過程。到目前為止，沒有跡象表明這種攻擊方法實際上是在外部被使用。

自從CPR在去年10月向其披露這一問題以來，高通公司已經意識到這一問題，並將其確認為一個高等級的漏洞，將其傳遞給使用其調製解調器的Android設備製造商。在寫這篇文章時，該漏洞大體上還沒有被修復，但據推測，高通和谷歌都在努力將解決方案納入未來的安全補丁中。

高通公司已經就此事發布了聲明，全文如下：

提供支持強大安全和隱私的技術是高通公司的優先事項。我們讚揚來自Check Point的安全研究人員使用行業標準的協調披露做法。高通技術公司已經在2020年12月向OEM廠商提供了修復措施，我們鼓勵終端用戶在補丁可用時更新他們的設備。

該代表接著說，”許多”Android OEM廠商已經向終端用戶發布了相關的安全更新，而且沒有具體證據表明Check Point發現的漏洞被使用。

該漏洞將被納入6月份的Android安全公告中。