黑客瞄準安卓用戶,竟是高通芯片零日漏洞!
週一,芯片製造商高通證實,黑客利用了一個零日漏洞——意思是在該漏洞被濫用時,硬件製造商還不知道這個安全缺陷——存在於多款流行的安卓設備所採用的其芯片組中。
這個被正式指定爲CVE-2024-43047的零日漏洞,‘可能受到有限且有針對性的利用’,高通稱,它援引了谷歌威脅分析小組(該公司負責調查政府黑客威脅的研究部門)未指明的‘跡象’。
高通表示,致力於保護公民社會免受數字監控和間諜軟件威脅的大赦國際安全實驗室,證實了谷歌的評估。
美國網絡安全機構 CISA 將高通的這一漏洞列入其已知正在或已被利用的漏洞清單中。
就目前而言,對於誰在“實際環境中”利用這個漏洞,沒有太多細節。而且還不清楚哪些個人成爲了目標,以及原因是什麼。
高通公司的發言人凱瑟琳·貝克對 TechCrunch 表示,該公司稱讚“來自谷歌零項目和大赦國際安全實驗室的研究人員採用了協調披露的做法”,使公司能夠推出針對該漏洞的修復措施。
該芯片製造商提及大赦國際和谷歌以獲取有關威脅活動的更多詳情。
谷歌和大赦國際都沒有迴應 TechCrunch 的置評請求。
高通的發言人表示,“修復方案已於 2024 年 9 月提供給我們的客戶。”現在得靠高通的客戶,也就是那些使用易受攻擊芯片組的安卓設備製造商,向他們客戶的設備發佈補丁。
在其發佈的公告裡,高通列出了 64 種受此漏洞影響的不同芯片組,包括該公司的旗艦驍龍 8(第一代)移動平臺,該平臺被用於數十款安卓手機,包括摩托羅拉、三星、一加、OPPO、小米和中興製造的一些手機——這就意味着全球可能有數百萬用戶面臨風險。
話雖這麼說,谷歌和大赦國際正在調查這種零日漏洞在“有限、有針對性的利用”情況下的使用情況,這一事實意味着,這場黑客活動很可能是針對特定個人的,而不是大量目標。
布萊恩·希特做出了相關報道。