如果黑客能够完全控制你的智能手机，不是通过恶意软件，而是通过硬件本身呢？ @DonjonLedger 发现了一个可能无法修复的漏洞，影响了 MediaTek Dimensity 7300 - 一款流行的 Android 手机 SoC - 使得在几分钟内能够执行任意代码。以下是如何做到的 🚨

我们都在智能手机上存储有价值的数据，但安全措施往往侧重于远程攻击，例如恶意软件。 如果没有 PIN、图案或密码，攻击者在手中拿着你的手机能做什么？ 事实证明，可以做很多事情。

我们针对智能手机软件栈的底部：Boot ROM。 这些硬编码在系统级芯片（SoC）中，具有有限的代码攻击面，但特权级别很高（EL3）。 🤔我们的论点 - 我们能否绕过SoC安全性并妥协整个设备？

攻击成功了！！！ EMFI 试错法让芯片抛出了整个 Boot ROM - 这是我们利用漏洞的地图。 🗺️ 接下来，通过精确地故障 WRITE 命令，我们能够覆盖栈上的返回地址（一个 ROP 原语）。

结果如何？我们实现了完全控制——在处理器上最高特权级别 EL3 的任意代码执行。 攻击成功率为 0.1%–1%，这意味着完全妥协只需几分钟的尝试...

联发科技对我们的披露做出了非常建设性的回应 🤝 他们通知了所有受影响的OEM厂商。教训——来自联发科技本身。你的手机并不是专门设计来保护秘密的。如果你使用没有签名者的智能手机，你的资产可能会面临风险。 在适当的时候，我们将全面审查我们的发现所带来的影响。 敬请关注 👀

简而言之 - 不要在手机上存储秘密。 这次调查让我想起了当年对PS3或任天堂Wii硬件的攻击。最初的硬件攻击允许逆向工程，导致了一些疯狂的漏洞 - 让我们看看这个第一个漏洞解锁了什么。

深入了解我们 Donjon 调查中的完整技术分析、时间线和使用的开源工具。完整博客文章在这里：