谷歌合作伙伴已经在Android的代码库当中发现了一个可怕且影响深远的安全漏洞。这个安全漏洞由芯片制造商高通引发,高通为了推广其芯片新的网络功能,在不经意间创造了黑客获得访问用户私人数据的方式,可能会影响到成千上万乃至数百万的Android设备。
需要明确的是,这个安全漏洞仅影响高通的芯片和那些使用来自高通特定代码的APP。高通在2011年推出为Android的network_manager系统服务推出新的的API,即现在的NETD进程,该API允许Radio用户,即依赖于网络功能的系统帐户,访问通常无法访问的数据,其中包括能够查看用户的短信或电话的通话记录。
恶意应用程序只需要使用官方Android API,即可使用这个漏洞。此外,由于API是官方的,它不会那么容易被自动化的反恶意软件工具检测。即使此漏洞发现者FireEye,也无法使用他们的工具检测到使用此漏洞的恶意软件。用户只需上当下载一个看似无害的应用程序,然后批准它使用网络,即可成为受害者。
此漏洞的影响范围也难以确定,这要归功于Android的碎片化。在2011年此API发布之际,当时的Android版本是2.3姜饼,该漏洞目前也存在于棒棒堂(5.0),奇巧(4.4)和果冻豆(4.3)当中,并且版本越旧,Radio用户受到的安全限制越少,即几乎可以不受限制地获取用户数据。
高通目前已经修补此漏洞,谷歌本身已发出关于它的安全公告 - CVE-2016-2060。可悲的是,我们不知道这些补丁何时推送到消费者手机,受到Android碎片化影响,旧设备可能永远不会得到修复。