日前，高通公司驍龍?zhí)幚砥鞅黄爻龃嬖诎踩┒矗瑴y試發(fā)現(xiàn)，部分手機(jī)公司此前已經(jīng)得知這一漏洞，在新款手機(jī)上緊急修復(fù)了該漏洞，不過僅三星 Galaxy S5和HTC One M8 等最新機(jī)型不受該漏洞影響。360手機(jī)安全專家分析指出，這一漏洞需要進(jìn)入系統(tǒng)內(nèi)核才能被惡意使用，局限性大、攻擊技術(shù)成本很高，對當(dāng)前普通手機(jī)用戶來說大可不必?fù)?dān)心。

據(jù)悉，安全專家 Dan Rosenberg在2014年黑帽大會上公開了這一漏洞。360手機(jī)安全專家分析指出，“該漏洞是一個TrustZone級別的漏洞，TrustZone是ARM芯片級別支持的安全擴(kuò)展，可用于手機(jī)內(nèi)核安全威脅監(jiān)控、數(shù)字版權(quán)保護(hù)、移動支付認(rèn)證等多個方向。”

360手機(jī)安全專家介紹，這次公開的漏洞可能會對安卓手機(jī)系統(tǒng)底層的一種安全環(huán)境產(chǎn)生影響。“高通利用TrustZone實現(xiàn)了一套安全環(huán)境(QSEE)，部署在絕大多數(shù)高通架構(gòu)的安卓手機(jī)上面。原本上QSEE內(nèi)部的內(nèi)存是外部不可訪問的，這次公開的漏洞使得手機(jī)內(nèi)核中的程序能夠向QSEE內(nèi)部內(nèi)存寫入數(shù)據(jù)。”

對于這一漏洞存在的安全風(fēng)險，專家指出主要存在三方面：第一，篡改數(shù)字執(zhí)行保護(hù)或移動支付方案的密鑰;第二，執(zhí)行一些安全環(huán)境(QSEE)的內(nèi)部功能，比如解鎖手機(jī);第三，禁用對于手機(jī)內(nèi)核的安全性監(jiān)控。

需要指出的是，該漏洞對目前的手機(jī)支付安全并不存在直接的安全威脅，利用這一漏洞執(zhí)行惡意行為還需對手機(jī)版本進(jìn)行適配，并且只用于高級入侵中特定的場景，未來可能會對移動支付安全產(chǎn)生影響。

圖：2014年第二季度安卓平臺惡意程序感染類型分布

360手機(jī)安全專家指出，手機(jī)軟件的安全隱患以及惡意程序才是目前移動支付安全的最大敵人。360手機(jī)安全中心此前發(fā)布的《手機(jī)銀行客戶端安全性測評報告》顯示，目前主流手機(jī)銀行客戶端均存在安全隱患，此外，2014年上半年360互聯(lián)網(wǎng)安全中心累計截獲Android平臺新增惡意程序樣本超過84萬個。

安全專家建議，手機(jī)用戶可以安裝360手機(jī)衛(wèi)士等手機(jī)安全軟件保護(hù)移動支付安全，避免未來可能產(chǎn)生的惡劣影響。