高通公司缺陷将数百万个Android设备有风险

Android组件中的漏洞与使用Qualcomm芯片的手机提交了“短信和盗窃风险的短信和呼叫历史记录”。

来自Fireeye的安全研究人员发现了缺陷，并于3月份被高通行证修补。但是，由于五年前推出了漏洞，因此许多受影响的设备不太可能收到修复，因为它们“重新获得其制造商不再支持。

漏洞被跟踪为CVE-2016-2060，位于一个名为“NetD”的Android组件上，该组件被修改，以提供额外的系列功能。恶意应用程序可以利用漏洞才能执行命令作为具有特殊权限的“无线电”系统用户。

由于Qualcomm Chips非常受手机制造商欢迎，Fireeye研究人员估计了数百个Android手机型号受到影响。由于世界上有超过14亿活跃的Android设备，这可能意味着缺陷存在于数百万设备中。

根据高通新人创新中心的安全咨询，缺陷会影响所有Android果冻豆，Kitkat和棒棒糖发布。

要利用此漏洞，恶意应用程序只需要广泛使用的“Access_Network_State”权限，以便访问由修改的高通服务处公开的API。这使得难以检测剥削尝试。

“任何应用程序都可以与此API进行互动而不触发任何警报，”在博客文章中，Fireeye的子公司的杰克瓦莱塔说杰克瓦莱塔说。“Google Play可能不会将其标记为恶意，而Fireeye移动威胁预防（MTP）并没有最初检测到它。难以相信任何杀毒都会瞄准这种威胁。“

一旦获得“收音机”权限，恶意应用程序可以访问在同一用户下运行的其他应用程序的数据。这包括库存电话和电话提供商应用程序，可以访问短信，呼叫历史记录和其他敏感数据。

运行Android Kitkat（4.4）和稍后的设备受影响较少的设备，因为它们默认情况下，它们会带来启用的Android（Seandroid）机制的安全增强功能。这使得通过此缺陷窃取其他应用程序“数据。

在这些较新的Android版本中，“NetD”上下文“/ system / bin / roulish”可执行运行不具有与其他“无线电”用户应用程序数据交互的功能，具有有限的文件系统写入能力，并且通常有限在申请互动方面，“瓦莱塔说。

然而，他说，恶意应用程序仍然可以使用漏洞来修改系统属性。“这里的影响完全取决于OEM如何使用系统属性子系统。”

Google包括星期一发布的Android安全公告中的CVE-2016-2060漏洞。该公司将其评为高严重程度，因为“它可以用于获得提升的功能，例如签名或签名orysystem权限权限，这是一个第三方应用程序无法访问的权限。”