在芯片緊缺的時候，高通芯片曝出了0day漏洞，這無疑是雪上加霜。

3月23日，谷歌披露了一個影響使用高通芯片組的安卓終端0day漏洞，攻擊者可以利用該漏洞定向發起攻擊。目前，該漏洞已修復。

[[389527]]

該漏洞編號為CVE-2020-11261(CVSS評分8.4)，和高通公司圖形組件中的 "不當輸入驗證 "問題有關。當攻擊者設計的應用程序請求訪問設備大容量內存時，該漏洞可能會被利用，從而引發內存損壞。

谷歌在3月18日更新的1月安全公告中表示，“有跡象表明，該漏洞可能會被用于定向攻擊。”在2020年7月20日，谷歌安卓安全團隊發現該漏洞后匯報給了高通，并在2021年修復了該漏洞。

值得慶幸是，該漏洞的訪問形式是 "本地"，因此利用該漏洞需要對設備進行本地訪問。換言之，攻擊者需要對智能設備進行物理訪問，或者使用水坑、惡意代碼傳播引發攻擊鏈等其他手段。

具體的攻擊細節、“幕后黑手”和目標受害人尚未公布，防止該漏洞的后續利用。因為該漏洞本身的影響范圍，所以用戶需盡快進行安全更新，防止自己的安卓設備遭利用，泄露個人信息。

這已經不是高通芯片第一次曝出安全漏洞了。在2020年12月8月10日，安全研究組織發現高通的DSP芯片存在400多個易受攻擊的漏洞。一旦漏洞遭利用，則會有以下危害：

• 攻擊者可以將手機變成一個完美的間諜工具，無需任何用戶操作。可以從手機中輕易獲得包括照片、視頻、通話錄音、實時語言、GPS和位置數據等隱私信息。
• 攻擊者能夠使手機持續無響應，使存儲在手機上的所有信息永久無法使用(包括照片、視頻、聯系方式等)。
• 惡意軟件和其他惡意代碼可以完全隱藏其活動，難以發現。

參考來源：

WARNING: A New Android Zero-Day Vulnerability Is Under Active Attack