在芯片緊缺的時(shí)候，高通芯片曝出了0day漏洞，這無疑是雪上加霜。

　　3月23日，谷歌披露了一個(gè)影響使用高通芯片組的安卓終端0day漏洞，攻擊者可以利用該漏洞定向發(fā)起攻擊。目前，該漏洞已修復(fù)。

　　該漏洞編號(hào)為CVE-2020-11261（CVSS評(píng)分8.4），和高通公司圖形組件中的 “輸入驗(yàn)證不當(dāng) ”問題有關(guān)。當(dāng)攻擊者設(shè)計(jì)的應(yīng)用程序請(qǐng)求訪問設(shè)備大容量?jī)?nèi)存時(shí)，該漏洞可能會(huì)被利用，從而引發(fā)內(nèi)存損壞。

　　谷歌在3月18日更新的1月安全公告中表示，“有跡象表明，該漏洞可能會(huì)被用于定向攻擊。”在2020年7月20日，谷歌安卓安全團(tuán)隊(duì)發(fā)現(xiàn)該漏洞后匯報(bào)給了高通，并在2021年修復(fù)了該漏洞。

　　值得慶幸是，該漏洞的訪問形式是 “本地”，因此利用該漏洞需要對(duì)設(shè)備進(jìn)行本地訪問。換言之，攻擊者需要對(duì)智能設(shè)備進(jìn)行物理訪問，或者使用水坑、惡意代碼傳播引發(fā)攻擊鏈等其他手段。

　　具體的攻擊細(xì)節(jié)、“幕后黑手”和目標(biāo)受害人尚未公布，防止該漏洞的后續(xù)利用。因?yàn)樵撀┒幢旧淼挠绊懛秶杂脩粜璞M快進(jìn)行安全更新，防止自己的安卓設(shè)備遭利用，泄露個(gè)人信息。

　　研究人員建議用戶盡快安裝補(bǔ)丁，進(jìn)行安全更新。

　　這已經(jīng)不是高通芯片第一次曝出安全漏洞了。在2020年8月，安全研究組織發(fā)現(xiàn)高通的DSP芯片存在400多個(gè)易受攻擊的漏洞。一旦漏洞遭利用，則會(huì)有以下危害：

　　攻擊者可以將手機(jī)變成一個(gè)完美的間諜工具，無需任何用戶操作。可以從手機(jī)中輕易獲得包括照片、視頻、通話錄音、實(shí)時(shí)語言、GPS和位置數(shù)據(jù)等隱私信息。

　　攻擊者能夠使手機(jī)持續(xù)無響應(yīng)，使存儲(chǔ)在手機(jī)上的所有信息永久無法使用（包括照片、視頻、聯(lián)系方式等）。

　　惡意軟件和其他惡意代碼可以完全隱藏其活動(dòng)，難以發(fā)現(xiàn)。