高通芯片曝严重漏洞：语音通话存在远程攻击风险

近期，高通公司发布了2024年1月的安全公告，其中列出了26个漏洞，其中包括四个影响高通芯片组的关键漏洞。这些漏洞会影响到多款设备，例如搭载了高通骁龙芯片的三星Galaxy、摩托罗拉Moto等。高通已经修复了这些漏洞，并向原始设备制造商提供了相应的补丁。

一个严重漏洞在 LTE 接听电话时构成风险

根据高通的说法，最严重的漏洞被追踪为CVE-2023-33025，CVSS得分为9.8。此漏洞涉及一个导致数据调制解调器内存损坏的经典缓冲区溢出漏洞，当会话描述协议(SDP)正文不标准时，此漏洞会在LTE语音(VoLTE)呼叫期间发生。

会话描述协议(SDP)通常通过以标准化格式提供某些会话、媒体、定时和网络信息来帮助促进两个设备之间的连接，以进行通信会话，例如VoLTE呼叫。如果远程攻击者可以使用他们自己的内容操纵会话描述协议(SDP)正文，并发起一个由接收设备的数据调制解调器处理恶意会话描述协议(SDP)的呼叫，调制解调器中的内存损坏可能会被攻击者利用来进行远程代码执行(RCE)。

高通发言人称，这种利用虽然可能，但很难实现，因为攻击者需要控制LTE网络本身才能进行攻击。因此，建议用户仅连接到安全、可信的LTE网络。 

CVE-2023-33025影响了二十几个高通芯片组，包括骁龙680和骁龙685 4G移动平台。这些芯片用于一系列智能手机和平板电脑，包括三星Galaxy、摩托罗拉Moto等型号。较新的骁龙X65 5G调制解调器和骁龙X70调制解调器射频系统也受到影响。

原始设备制造商在2023年7月7日首次收到关于该缺陷的通知，在披露之前给了他们大约6个月的时间来更新他们的系统。一位高通发言人称，CVE-2023-33025将被列入本周二发布的2024年1月的Android安全公告。

 其他严重漏洞面临DoS攻击、本地攻击风险

三个本地访问漏洞也被标记为严重漏洞，其中一个可能导致永久DoS，另外两个导致内存损坏。

CVE-2023-33036被高通评为关键安全等级，CVSS得分高达7.1，由于空指针取消引用，导致虚拟机管理程序软件永久中断。当不支持电源状态协调接口(PSCI)的不受信任的虚拟机发出PSCI调用(即与电源管理相关的请求)时，会出现该问题。这个漏洞影响了100多种芯片组，包括骁龙系列中的许多芯片组。 

CVE-2023-33030是另一个缓冲区溢出漏洞，在运行微软PlayReady用例(即播放受PlayReady防复制技术保护的媒体文件)时，会导致高级操作系统(HLOS)中的内存损坏。这一漏洞影响了200多种芯片组，从智能手机和计算机芯片到可穿戴设备和其他物联网设备中使用的芯片。

 CVE-2023-33032也具有9.3的CVSS分数，并且是整数溢出或环绕缺陷。当从受信任的应用程序(TA)区域请求内存分配时，ARM TrustZone安全操作系统中的内存可能会损坏。这个缺陷影响了超过100个高通芯片组。

早在2023年7月，高通公司已向客户通知了所有这些严重漏洞，并提供了相应的软件补丁来解决这些问题。高通还建议使用搭载受影响芯片的设备用户联系设备制造商，以了解补丁的状态，并及时应用所有可用的更新。这样可以确保设备的安全性和性能得到最大程度的保障。

“黑”入停车系统偷装GPS追踪器 贩卖个人信息 相当“刑”！

“黑”入停车系统 非法获取车辆行踪

警方调查发现，软件的开发者是一家投资公司的经营者谢某，他为何要掌握这些车辆的信息呢?通过这些信息他又能获得什么呢?这还要从谢某曾接到的一单生意说起。

南京市鼓楼区人民法院刑庭庭长 朱锡平：谢某经营了一家名叫煜丰达的公司，他接到了上家找别人车辆的需求。谢某经营的这家公司，原本的经营项目并不是寻车，但在经营的过程中，他发现可以将寻车作为主要业务来赚钱。

南京市鼓楼区人民法院刑庭副庭长 李丽媛：谢某以前帮别人寻找贷款，进而寻找贷款时候抵押的资产，也就包括寻找车辆，在这个公司的后续发展过程中，逐渐演变到以寻找车辆为主。当时，谢某专门找人开发名这款名为“赏金猎人”的软件。但在使用了一段时间后，他发现，通过这款软件寻车，自己获取的车辆信息存在滞后性，不能及时获取车辆的位置信息。不满足于现状的公司经营者谢某，想通过更加便捷的技术手段寻车，便让员工黄某去寻找解决方案。为了可以通过技术手段快速寻车，黄某通过网络找到了软件开发人员李某。

南京市鼓楼区人民法院刑庭庭长 朱锡平：李某设计的这个软件，他可以绕过某智慧停车平台的安全防护体系，能够及时抓取到平台内录入的车牌号，通过车牌号抓取到公民停车的个人信息。这就意味着，只要是被这家智慧停车平台读取了信息的车辆，无论是何时进入停车场，停留多久后离开，谢某都可以通过新的软件，轻易地获取车辆信息以及行驶轨迹。但谢某公司的业务不仅只提供寻车这一项服务，它宣称如果想要掌握目标车辆的实时动态，还可以提供一种实时GPS定位服务。

所谓的商家可以实时掌握车辆的动态信息，轨迹信息，这就是所谓的贴G(GPS追踪器)。就这样，谢某等人通过非法获取车辆信息的方式获利超过650万元。100块钱一辆，仅仅是获取到这个车辆实时的位置，后续车辆的位置变更他是不提供的。如果是贴G，也就是贴GPS，是3500块钱的价格。

庭审争议焦点 停车信息算不算个人信息

“黑”入停车系统，获取车辆位置信息，以此牟利，甚至进一步对目标车辆偷偷安装定位装置，掌握车辆的实时动态，让个人行踪，个人信息泄露无遗。然而在庭审中，“停车信息算不算公民个人信息”成为了争议焦点。那么，法院会如何认定的呢?在案件的审理过程中，被告人谢某等人辩称，车辆位置信息不应被称为公民的个人信息。因此，他们的行为并不属于侵犯公民个人信息安全的行为，不构成侵犯公民个人信息罪。

根据《中华人民共和国刑法》第二百五十三条之一规定，侵犯公民个人信息罪，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。法院审理认为，公民的停车信息与日常生活习惯、规律、轨迹紧密相连，属于个人信息的一部分。

南京市鼓楼区人民法院刑庭庭长 朱锡平：刑法第二百五十三条之一，所讲的公民个人信息是指用电子或者其他的形式记录的，与公民的个人的身份，以及个人特定的活动相关联的，能够单独或者结合其他信息，能够锁定公民的身份，跟公民的活动有关的信息，都被称之为公民的个人信息。被告人谢某还认为，自己寻找的部分车辆，是因为受到了贷款公司的委托，才对指定车辆的位置进行查询，并且安装定位软件，不能判定为侵犯公民个人信息的行为。

南京市鼓楼区人民法院刑庭副庭长 李丽媛：谢某是得到了部分的贷款公司的授权，那么这些贷款公司也不排除有一些确实拿到了车主的定位的授权，是认为可以安装GPS的，但是车主应该说没有直接授权给谢某，由谢某来追踪他们的车辆。也就是说，从法律层面来讲，被告人谢某所谓的，得到了贷款公司的委托来查找车辆位置信息，双方的这种委托并不合法。

南京市鼓楼区人民法院刑庭庭长 朱锡平：公民个人信息能不能被获取，首先要应该有法律的明确的授权，或者是公民个人明确的同意和授权以后，才能获取公民个人信息，这也是我们讲的公民个人信息真正的权利应该掌握在公民个人自己手上，就是公民个人信息的自觉权。

“两高”2017年发布的侵犯公民个人信息刑事案件相关司法解释明确指出，刑法第二百五十三条之一规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

南京市鼓楼区人民法院刑庭庭长 朱锡平：往往公民个人的行动的轨迹，或者与之相关联的车辆的停车信息等，都和公民的隐私、公民的私人活动关联度非常高，这一类信息往往也涉及到公民个人的安全和行动的自由。这一类也是属于识别性很强的信息，属于公民个人信息，也是法律所保护的法益。法院审理认为，谢某等人侵犯公民个人信息系列案件五起，非法获取车辆位置信息累计超过40万条，严重危害公民个人信息安全。

南京市鼓楼区人民法院刑庭庭长 朱锡平：应该说他侵害的是不特定公民的公民个人信息，涉及到公民的行动的自由，还有其他的一些隐私的空间。

法院一审判决，谢某等人构成侵犯公民个人信息罪，判处有期徒刑5年10个月到3年3个月不等，并处罚金。法官指出，谢某等人非法获取公民停车信息、车辆位置、对车辆进行追踪定位的行为，存在着很大的安全隐患。

南京市鼓楼区人民法院刑庭副庭长 李丽媛：车辆的位置信息，会不会潜在地危害到驾驶人员的安全，车辆位置信息是不是有一个正当的、合法的途径去使用，目前来看都不是谢某他们能够保证的。

南京市鼓楼区人民法院刑庭法官 邓友华：我们认为这种行为的社会危害性还是比较大的，停车信息涉及到公民的个人人身和财产的安全，必须要保护。