来自FireEye公司Mandiant事业部的安全研究人员们已经披露一项存在长达五年的安全漏洞，其影响到世界范围内约73.1%的Android用户群体。

谷歌公司将这一问题归类为“高通约束控制器中的信息泄露漏洞”，最近也已经在5月发布的Android安全公告中将其修复。

这项漏洞被Mitre漏洞数据库冠以CVE-2016-2060编号，其影响到一切运行有Android 5.0 Lollipop以及更早系统版本，意味着约四分之三Android手机设备。

攻击者能够借此窃取短信与手机通话记录

根据Mandiant团队的说明，这项安全漏洞源自由高通公司添加至网络管理器系统服务（包括netd Android守护程序）中的一组API。

如果黑客希望利用CVE-2016-2060漏洞，他们只需要创建一款能够向设备请求ACCESS_NETWORK_STATE权限的应用即可。

这款应用可以利用这些高通API中的漏洞将自身权限提升为Android的内置“radio”用户。此类用户能够查询短信记录、通话历史甚至使用互联网连接。

攻击活动不会被用户发觉

Mandiant方面指出，更新的Android操作系统版本受到的影响较小，因为谷歌公司在其中实现了新的安全保护机制，而不同OEM厂商则往往同时使用自有与高通API。

成功的漏洞利用行为很难被发现，Mandiant团队指出。研究人员们强调称，其不会造成性能影响，而且在测试当中目标应用或设备亦没有遭遇崩溃。

“任 何应用程序都能够在不触发警报的前提下与该API交互。Google Play可能不会将其标记为恶意，而FireEye移动威胁预防（简称MTP）方案最初也没能将其检测出来，”FireEye公司的Jake Valletta解释称。“难以置信，不过确实没有任何杀毒软件能够发现这项威胁。另外，要求权限以执行特定操作的应用程序可谓所在多有，因此用户并不会 觉得其中有何不妥。”

Mandiant团队于今年1月同高通方面取得了联系，到3月这家硬件与软件制造商已经向谷歌及其它Android OEM厂商发送了修复补丁。