高通API代碼惹的禍 百萬(wàn)安卓設備受威脅

　　在某些情況下，原因歸結于安卓向開(kāi)發(fā)者和用戶(hù)提供的一種“開(kāi)放性”，而有些漏洞則直接能夠在安卓系統“核”中找到。這次，安卓系統的漏洞則是由它的合作伙伴高通帶來(lái)的。在推出其新的網(wǎng)絡(luò )功能時(shí)，高通也無(wú)意之中埋下了“禍根”，為黑客創(chuàng )造了一種獲取他人隱私數據的機會(huì )，這個(gè)漏洞或許將影響到數數千、甚至百萬(wàn)安卓設備。

　　具體來(lái)講，這項安全漏洞僅僅能夠影響到高通芯片以及使用來(lái)自高通編碼的應用軟件。 在2011年，作為其安卓網(wǎng)絡(luò )-管理系統服務(wù)的一部分，這家芯片制造商推出了其新的API。而新的API允許“Radio”用戶(hù)，也就是與網(wǎng)絡(luò )功能綁定的系統賬戶(hù)訪(fǎng)問(wèn)通常無(wú)法訪(fǎng)問(wèn)的數據，比如瀏覽用戶(hù)的短信或者手機通話(huà)記錄。

　　惡意應用軟件只需使用官方安卓API就能利用此漏洞。更為嚴重的是，由于是官方API，因此就不會(huì )很容易地被自動(dòng)反惡意軟件工具所識別。即便是這項漏洞的發(fā)現者FireEye在剛開(kāi)始也無(wú)法使用他們工具識別出此漏洞。用戶(hù)只要一下載看似安全，但需要獲得網(wǎng)絡(luò )使用許可的應用軟件，就會(huì )自動(dòng)成為潛在受害者。

　　再加上安卓系統“碎片化”特點(diǎn)，這也使得這項漏洞變得更加難以被識別。在2011年高通發(fā)布API之時(shí)，當時(shí)的安卓系統版本還是Gingerbread (2.3). 目前該漏洞已經(jīng)存在于Lollipop (5.0), KitKat (4.4)和 Jelly Bean (4.3)系統中。并且，版本越低，對此漏洞的抵抗力就低，“Radio”用戶(hù)就更容易獲取隱私數據。

　　好消息是，目前還沒(méi)有出現跟此漏洞相關(guān)的受害者。不過(guò)，FireEye承認，一旦這項漏洞被黑客所利用，后果不堪設想。高通目前已經(jīng)修補此漏洞，谷歌也針對此漏洞發(fā)布了名為“CVE-2016-2060漏洞”安全公告。壞消息是，目前還不知道谷歌何時(shí)、甚至是否會(huì )將修復補丁推送給消費者。