近日消息,在DEF CON 32安全大会上,三位来自谷歌的安全专家震撼揭露了超过9个高危漏洞,这些漏洞存在于广受欢迎的高通Adreno GPU驱动中。
这一发现于本月9日在美国拉斯维加斯的舞台上展出,突显了即便是最先进技术背后也可能潜藏的安全挑战。这些漏洞的公开演示不仅是对行业的一次警醒,也是推动技术安全向前迈出的重要一步,敦促厂商及时修补以保障全球数亿设备用户的数字安全。
Adreno GPU 驱动程序负责协调 GPU 硬件同 Android 等操作系统的通信,在系统内核中拥有深层权限。
而 Android 手机上的应用程序可直接同高通 Adreno GPU 驱动通信,不存在沙箱、额外权限检查。攻击者可利用研究人员发现的漏洞完全控制受影响设备的内存,进而接管整个设备。
谷歌 Android 安全红队经理 Xuan Xing 表示:
与庞大的安卓生态系统相比,我们只是一个小团队 —— 我们的工作范围太大,不可能面面俱到,因此我们必须弄清楚哪些方面会产生最大的影响。
那么,我们为什么要在这种情况下关注 GPU 驱动程序呢?因为不受信任的应用程序访问 GPU 驱动程序不需要任何权限。
这一点非常重要,我认为会吸引很多攻击者的注意。
高通发言人向外媒确认,高通方面已于 2024 年 5 月向 OEM 厂商提供相关漏洞补丁,高通鼓励终端用户从设备制造商处获取并应用这些补丁。
文明上网,理性发言,共同做网络文明传播者