谷歌合作伙伴已經在Android的代碼庫當中發現了一個可怕且影響深遠的安全漏洞。這個安全漏洞由芯片制造商高通引發,高通為了推廣其芯片新的網絡功能,在不經意間創造了黑客獲得訪問用戶私人數據的方式,可能會影響到成千上萬乃至數百萬的Android設備。
需要明確的是,這個安全漏洞僅影響高通的芯片和那些使用來自高通特定代碼的APP。高通在2011年推出為Android的network_manager系統服務推出新的的API,即現在的NETD進程,該API允許Radio用戶,即依賴于網絡功能的系統帳戶,訪問通常無法訪問的數據,其中包括能夠查看用戶的短信或電話的通話記錄。
惡意應用程序只需要使用官方Android API,即可使用這個漏洞。此外,由于API是官方的,它不會那么容易被自動化的反惡意軟件工具檢測。即使此漏洞發現者FireEye,也無法使用他們的工具檢測到使用此漏洞的惡意軟件。用戶只需上當下載一個看似無害的應用程序,然后批準它使用網絡,即可成為受害者。
此漏洞的影響范圍也難以確定,這要歸功于Android的碎片化。在2011年此API發布之際,當時的Android版本是2.3姜餅,該漏洞目前也存在于棒棒堂(5.0),奇巧(4.4)和果凍豆(4.3)當中,并且版本越舊,Radio用戶受到的安全限制越少,即幾乎可以不受限制地獲取用戶數據。
高通目前已經修補此漏洞,谷歌本身已發出關于它的安全公告 - CVE-2016-2060。可悲的是,我們不知道這些補丁何時推送到消費者手機,受到Android碎片化影響,舊設備可能永遠不會得到修復。
