高通API代码惹的祸 百万安卓设备受威胁
2016-05-09
我们都知道,相比较iOS系统,安卓系统的安全性一直都受到用户的“吐槽”,它也被视为一种缺乏安全性的移动平台。在某些情况下,原因归结于安卓向开发者和用户提供的一种“开放性”,而有些漏洞则直接能够在安卓系统“核”中找到。这次,安卓系统的漏洞则是由它的合作伙伴高通带来的。在推出其新的网络功能时,高通也无意之中埋下了“祸根”,为黑客创造了一种获取他人隐私数据的机会,这个漏洞或许将影响到数数千、甚至百万安卓设备。
具体来讲,这项安全漏洞仅仅能够影响到高通芯片以及使用来自高通编码的应用软件。 在2011年,作为其安卓网络-管理系统服务的一部分,这家芯片制造商推出了其新的API。而新的API允许“Radio”用户,也就是与网络功能绑定的系统账户访问通常无法访问的数据,比如浏览用户的短信或者手机通话记录。
恶意应用软件只需使用官方安卓API就能利用此漏洞。更为严重的是,由于是官方API,因此就不会很容易地被自动反恶意软件工具所识别。即便是这项漏洞的发现者FireEye在刚开始也无法使用他们工具识别出此漏洞。用户只要一下载看似安全,但需要获得网络使用许可的应用软件,就会自动成为潜在受害者。
再加上安卓系统“碎片化”特点,这也使得这项漏洞变得更加难以被识别。在2011年高通发布API之时,当时的安卓系统版本还是Gingerbread (2.3). 目前该漏洞已经存在于Lollipop (5.0), KitKat (4.4)和 Jelly Bean (4.3)系统中。并且,版本越低,对此漏洞的抵抗力就低,“Radio”用户就更容易获取隐私数据。
好消息是,目前还没有出现跟此漏洞相关的受害者。不过,FireEye承认,一旦这项漏洞被黑客所利用,后果不堪设想。高通目前已经修补此漏洞,谷歌也针对此漏洞发布了名为“CVE-2016-2060漏洞”安全公告。坏消息是,目前还不知道谷歌何时、甚至是否会将修复补丁推送给消费者。