Check Point 的报告中的叙述以较白话的方式来说,就是在高通 QMI 软体层和数据晶片之间的连接里面发现漏洞,使其能够以动态插入软体并绕过寻常的安全机制。标準的第三方应用并没有访问 QMI 的安全性特权,但若是 Android 的更多关键方面受到损害则可利用此来进行攻击。
透过发现的漏洞,研究人员确认了恶意应用可以监听和记录通话、接听来电和己讯记录,甚至能够解锁 SIM 卡。Check Point 估计,易受攻击的 QMI 存在于市场上大约 40% 的智慧型手机之中,涵盖了来自 Google、Samsung、LG、OnePlus、小米等品牌。虽然这次的安全报告为了防止不肖人士轻易地重複过程所以并没有具体地将侵入过程细节叙述出来,但庆幸的是目前还没有发现透过这个漏洞进行的攻击。
在去年 10 月这个问题被向高通披露以来,将此列为高评级漏洞,而高通也声明在 2020 年 12 月时已经向 OEM 厂商提供修复方式,而许多 Android 手机的 OEM 厂商已经在不同时间点向消费者推出了相关安全性更新,消费者在收到安全性更新后应尽速安装以确保个人用机安全。
