在芯片緊缺的時候,，高通芯片曝出了0day漏洞,，這無疑是雪上加霜,。

　　3月23日,，谷歌披露了一個影響使用高通芯片組的安卓終端0day漏洞,，攻擊者可以利用該漏洞定向發(fā)起攻擊,。目前,，該漏洞已修復,。

　　該漏洞編號為CVE-2020-11261（CVSS評分8.4），和高通公司圖形組件中的 “輸入驗證不當 ”問題有關,。當攻擊者設計的應用程序請求訪問設備大容量內(nèi)存時,，該漏洞可能會被利用，從而引發(fā)內(nèi)存損壞,。

　　谷歌在3月18日更新的1月安全公告中表示,，“有跡象表明，該漏洞可能會被用于定向攻擊,?！痹?020年7月20日，谷歌安卓安全團隊發(fā)現(xiàn)該漏洞后匯報給了高通,，并在2021年修復了該漏洞,。

　　值得慶幸是，該漏洞的訪問形式是 “本地”,，因此利用該漏洞需要對設備進行本地訪問,。換言之,，攻擊者需要對智能設備進行物理訪問，或者使用水坑,、惡意代碼傳播引發(fā)攻擊鏈等其他手段,。

　　具體的攻擊細節(jié)、“幕后黑手”和目標受害人尚未公布,，防止該漏洞的后續(xù)利用,。因為該漏洞本身的影響范圍，所以用戶需盡快進行安全更新,，防止自己的安卓設備遭利用,，泄露個人信息。

　　研究人員建議用戶盡快安裝補丁,，進行安全更新,。

　　這已經(jīng)不是高通芯片第一次曝出安全漏洞了。在2020年8月,，安全研究組織發(fā)現(xiàn)高通的DSP芯片存在400多個易受攻擊的漏洞,。一旦漏洞遭利用，則會有以下危害：

　　攻擊者可以將手機變成一個完美的間諜工具,，無需任何用戶操作,。可以從手機中輕易獲得包括照片,、視頻,、通話錄音、實時語言,、GPS和位置數(shù)據(jù)等隱私信息,。

　　攻擊者能夠使手機持續(xù)無響應，使存儲在手機上的所有信息永久無法使用（包括照片,、視頻,、聯(lián)系方式等）。

　　惡意軟件和其他惡意代碼可以完全隱藏其活動,，難以發(fā)現(xiàn),。