谷歌合作伙伴已經(jīng)在Android的代碼庫(kù)當(dāng)中發(fā)現(xiàn)了一個(gè)可怕且影響深遠(yuǎn)的安全漏洞。這個(gè)安全漏洞由芯片制造商高通引發(fā),高通為了推廣其芯片新的網(wǎng)絡(luò)功能,在不經(jīng)意間創(chuàng)造了黑客獲得訪問(wèn)用戶(hù)私人數(shù)據(jù)的方式,可能會(huì)影響到成千上萬(wàn)乃至數(shù)百萬(wàn)的Android設(shè)備。
需要明確的是,這個(gè)安全漏洞僅影響高通的芯片和那些使用來(lái)自高通特定代碼的APP。高通在2011年推出為Android的network_manager系統(tǒng)服務(wù)推出新的的API,即現(xiàn)在的NETD進(jìn)程,該API允許Radio用戶(hù),即依賴(lài)于網(wǎng)絡(luò)功能的系統(tǒng)帳戶(hù),訪問(wèn)通常無(wú)法訪問(wèn)的數(shù)據(jù),其中包括能夠查看用戶(hù)的短信或電話(huà)的通話(huà)記錄。
惡意應(yīng)用程序只需要使用官方Android API,即可使用這個(gè)漏洞。此外,由于API是官方的,它不會(huì)那么容易被自動(dòng)化的反惡意軟件工具檢測(cè)。即使此漏洞發(fā)現(xiàn)者FireEye,也無(wú)法使用他們的工具檢測(cè)到使用此漏洞的惡意軟件。用戶(hù)只需上當(dāng)下載一個(gè)看似無(wú)害的應(yīng)用程序,然后批準(zhǔn)它使用網(wǎng)絡(luò),即可成為受害者。
此漏洞的影響范圍也難以確定,這要?dú)w功于Android的碎片化。在2011年此API發(fā)布之際,當(dāng)時(shí)的Android版本是2.3姜餅,該漏洞目前也存在于棒棒堂(5.0),奇巧(4.4)和果凍豆(4.3)當(dāng)中,并且版本越舊,Radio用戶(hù)受到的安全限制越少,即幾乎可以不受限制地獲取用戶(hù)數(shù)據(jù)。
高通目前已經(jīng)修補(bǔ)此漏洞,谷歌本身已發(fā)出關(guān)于它的安全公告 - CVE-2016-2060??杀氖牵覀儾恢肋@些補(bǔ)丁何時(shí)推送到消費(fèi)者手機(jī),受到Android碎片化影響,舊設(shè)備可能永遠(yuǎn)不會(huì)得到修復(fù)。