Google在今年1月的Nexus安全公告中修复了名为CVE-2015-6639Android设备的信任区(TrustZone)提权漏洞，其影响到六成采用了高通安全平台的Android设备。四个月后，一名安全人员解释了这个“高通安全执行环境”(QSEE)漏洞是如何被用来攻破Android设备的。Android TrustZone是系统内核中的一个独立于内核中其它部分工作的特殊部分，负责处理最重要和敏感的操作(比如数据加密)。

安全研究人员Gal Beniamini在高通定制实现的TrustZone内核中发现了该漏洞，其被用于搭载了高通芯片的Android智能机上。

Beniamini表示，其本身是“无害”的，但如果攻击者将它与另一个漏洞（CVE-2015-6639）“串联”起来，就可以提取到高通TrustZone的权限。

在这之后，任何Android媒体服务组件都可以被它所利用。（所幸的是，Google已在Android N中拆分了mediaserver，以消除Stagefright高危漏洞的影响）

攻击者只需精心打造一个包含了上述俩漏洞的应用，然后诱骗用户去安装它。得逞之后，即可完全控制受害设备。

根据移动安全企业Duo从50万Android手机上收集到的遥测数据，当前采用了高通芯片的Android设备占到了六成，它们运行着受影响的Android版本。

即使Google已经发布了安全补丁，设备也可以通过升级系统版本的方式完全避免，但漏洞的影响仍可能持续很长一段时间。

Google在今年1月时写到：“因其可永久攻破本地设备，该问题被标记为‘高危’（Critical）。换言之，受影响的设备要重刷操作系统才能修复”。

为确保安全，我们在此建议大家积极采用反病毒解决方案，或仅安装声誉较高、可信赖的应用程序。