Qualpwn是高通snapdragon芯片的新漏洞，这是你需要知道的

您的手机是由各种各样的零件构成的，其中许多都是“智能”的，并且有自己的内置处理器和固件。这意味着有很多地方可以找到漏洞或漏洞，让坏玩家能够访问他们不应该访问的内容。制造这些零件的公司总是试图改进和硬化以防止它，但是在零件离开实验室并最终装配线之前，他们不可能找到所有东西。

在大家知道它们存在之前，大多数漏洞都会被修补，但有些漏洞可以解决。

这使得发现这些漏洞和漏洞本身就是一个行业。在DEFCON 27和Black Hat 2019上，巨大的场所公开并展示了漏洞（并且有希望补丁），腾讯刀片团队宣布了高通芯片中的一个漏洞，攻击者可以通过内核获得访问权限。进入手机并造成伤害。好消息是它负责任地宣布，高通公司与谷歌合作解决了2019年8月Android安全公告的问题。

以下是您需要了解的有关QualPwn的所有信息。

什么是QualPwn？

QualPwn除了是一个有趣的名字外，还描述了Qualcomm芯片中的漏洞，该漏洞允许攻击者通过WLAN（无线局域网）和远程单元调制解调器来破坏手机。 Qualcomm平台受安全启动保护，但QualPwn会破坏安全启动并允许攻击者访问调制解调器，以便可以加载调试工具并控制基带。

一旦发生这种情况，攻击者就有可能利用Android在其上运行的内核并获得提升的权限 - 他们可以访问您的个人数据。

我们没有关于这将如何发生或有多容易的所有细节，但这些细节将在腾讯Blade的Black Hat 2019和DEFCON 27演示中展示。

什么是WLAN？

WLAN代表无线局域网，它是任何一组设备（包括移动电话）的无所不在的名称，它们以无线方式相互通信。 WLAN可以使用Wi-Fi，蜂窝，宽带，蓝牙或任何其他无线类型进行通信，对于寻找漏洞的人来说，它始终是蜜罐。

由于许多不同的设备类型可以成为WLAN的一部分，因此有关于如何创建连接的非常具体的标准。您的手机（包括Qualcomm芯片等组件）需要采用并遵循这些标准。随着标准的发展和新硬件的创建，可能会出现如何创建连接的错误和漏洞。

QualPWN已经修复了吗？

是。 2019年8月的Android安全公告包含了从Qualcomm修补受影响设备所需的所有代码。一旦你的手机获得2019年8月的补丁，你就安全了。

哪些设备受到影响？

腾讯刀片团队没有使用高通芯片测试每部手机，只有Pixel 2和Pixel 3.两者都很脆弱，所以在Snapdragon 835和845平台上运行的所有手机都可能受到影响。用于修补QualPwn的代码可以应用于运行Qualcomm处理器和Android 7.0或更高版本的任何手机。

在发布所有细节之前，可以安全地假设所有现代Snapdragon芯片组都应该被认为存在风险，直到打补丁。

QualPwn是否已用于现实世界？

该漏洞利用于2019年3月向Google负责任地披露，一旦经过验证，就会转发给高通公司。 Qualcomm通知其合作伙伴，并在2019年6月发送了代码以对其进行修补，并且使用2019年8月Android安全公告中使用的代码修补了链的每个部分。

没有报告任何QualPwn在野外被利用的情况。 高通还就此问题发表了以下声明：

提供支持强大安全性和隐私的技术是Qualcomm的首要任务。我们赞扬腾讯的安全研究人员通过我们的漏洞奖励计划使用行业标准的协调披露做法。 Qualcomm Technologies已经向OEM发布了修复程序，我们鼓励最终用户在OEM提供补丁时更新他们的设备。

在得到补丁之前我该怎么办？

你现在真的没有什么可以做的。这些问题已被Google和高通公司标记为“ 严重” ，并且已及时修补，因此您现在必须等待制作手机的公司才能将其发送给您。像素手机，如Pixel 2和3，以及Essential和OnePlus的其他手机，已经有了补丁。来自三星，摩托罗拉，LG和其他公司的其他人可能需要几天到几周才能推出手机。

在此期间，请遵循您应该始终使用的相同最佳做法：