近日,研究人員在高通的驍龍芯片中發現了 400 多個漏洞,這些漏洞影響了超過 10 億部 Android 設備。攻擊者可以利用這些漏洞在未經用户許可的情況下在目標設備上安裝惡意的應用程序,從而竊取用户數據,跟蹤用户位置或收聽其周圍環境。
這些漏洞直接影響驍龍處理器的數字信號處理功能,該功能用於處理視頻,音頻,增強現實和其他多媒體功能,它還用於控制快速充電功能。該漏洞使攻擊者可以從操作系統中隱藏惡意代碼,從而使其無法刪除。攻擊者還可能使 Android 設備無法響應,這使得很難使用設備進行任何更改並解決問題。
高通公司已收到這些漏洞的通知, 但研究人員尚未公開發布這些漏洞的完整技術細節,包括哪些特定處理器受這些錯誤影響的細節。
高通方面已經發布了修復程序,但截至目前,它尚未作為軟件更新發布到任何 Android 設備中,也未作為補丁發佈到 Android 代碼庫中。考慮到受這些漏洞影響的設備數量,補丁很難輕鬆地到達所有設備。
高通在一份與 Ars Technica 分享的聲明中表示,目前還沒有證據表明該漏洞已廣泛被利用。但是,該公司建議用户僅從受信任的位置(例如 Google Play 商店)安裝應用。