來自FireEye公司Mandiant事業部的安全研究人員們已經披露一項存在長達五年的安全漏洞，其影響到世界范圍內約73.1%的Android用戶群體。

谷歌公司將這一問題歸類為“高通約束控制器中的信息泄露漏洞”，最近也已經在5月發布的Android安全公告中將其修復。

這項漏洞被Mitre漏洞數據庫冠以CVE-2016-2060編號，其影響到一切運行有Android 5.0 Lollipop以及更早系統版本，意味著約四分之三Android手機設備。

攻擊者能夠借此竊取短信與手機通話記錄

根據Mandiant團隊的說明，這項安全漏洞源自由高通公司添加至網絡管理器系統服務（包括netd Android守護程序）中的一組API。

如果黑客希望利用CVE-2016-2060漏洞，他們只需要創建一款能夠向設備請求ACCESS_NETWORK_STATE權限的應用即可。

這款應用可以利用這些高通API中的漏洞將自身權限提升為Android的內置“radio”用戶。此類用戶能夠查詢短信記錄、通話歷史甚至使用互聯網連接。

攻擊活動不會被用戶發覺

Mandiant方面指出，更新的Android操作系統版本受到的影響較小，因為谷歌公司在其中實現了新的安全保護機制，而不同OEM廠商則往往同時使用自有與高通API。

成功的漏洞利用行為很難被發現，Mandiant團隊指出。研究人員們強調稱，其不會造成性能影響，而且在測試當中目標應用或設備亦沒有遭遇崩潰。

“任 何應用程序都能夠在不觸發警報的前提下與該API交互。Google Play可能不會將其標記為惡意，而FireEye移動威脅預防（簡稱MTP）方案最初也沒能將其檢測出來，”FireEye公司的Jake Valletta解釋稱。“難以置信，不過確實沒有任何殺毒軟件能夠發現這項威脅。另外，要求權限以執行特定操作的應用程序可謂所在多有，因此用戶并不會 覺得其中有何不妥。”

Mandiant團隊于今年1月同高通方面取得了聯系，到3月這家硬件與軟件制造商已經向谷歌及其它Android OEM廠商發送了修復補丁。