Android芯片零日漏洞遭活跃攻击

根据谷歌报告，许多Android移动设备使用的高通芯片组存在零日漏洞，正在野外遭到活跃利用，系统用户应尽快应用相关更新。

该漏洞被追踪为CVE-2026-21385，是一个由整数溢出或图形环绕条件引起的内存损坏漏洞。如果不加以解决，威胁行为者可以绕过安全控制并接管目标系统。

高通表示，该漏洞影响了超过200个广泛使用的芯片组。漏洞于2025年12月首次被谷歌Android安全团队报告，高通于2026年2月2日通知了客户，修复程序早在1月就开始推出。

在3月安全公告中，谷歌还解决了Android及其相关组件中的100多个其他漏洞。谷歌表示"有迹象表明CVE-2026-21385可能正在遭受有限的定向利用"。

谷歌的措辞表明CVE-2026-21385可能被国家级监控行动使用，因为历史上许多最终危及智能手机设备的零日漏洞都是如此。

然而，谷歌尚未就此作出明确声明，也没有提供有关攻击细节或受害者的信息。

在公告中，谷歌还特别标记了CVE-2026-0047（关键权限提升漏洞）和CVE-2026-0006（远程代码执行漏洞），认为防御者应密切关注。

Android和iOS安全专家Jamf的高级企业战略经理Adam Boynton表示，高通零日漏洞将特别令安全团队担忧，因为虽然谷歌已修补了该漏洞，但真正控制补丁何时下沉到用户设备的是原始设备制造商和移动运营商。

"在企业环境中，这个间隙可能从几天延伸到几个月——在此期间，漏洞是公开的，设备处于暴露状态，"他解释道。

"移动设备不再是次要攻击面，那些仍将其视为次要并延迟更新的组织，将成为事件报告中的受害者。"

截至3月3日，CVE-2026-21385现已被添加到网络安全和基础设施安全局的已知被利用漏洞目录中。这要求美国联邦文职执行部门的所有机构在3月24日前应用Android补丁，并进一步表明该漏洞对更广泛企业社区的潜在范围和损害。

苹果也未幸免

与此同时，3月3日，谷歌内部威胁情报小组发布了一个针对运行iOS 13.0至17.2.01版本的Apple iPhone型号的强大漏洞利用工具包详情。

所谓的Coruna工具包据说包含了五个综合iOS漏洞利用链，共包含23个漏洞利用——其中最先进的使用了尚未公开的利用技术和缓解措施绕过。

威胁情报小组表示，他们追踪到一个未命名商业间谍软件供应商的客户在使用该工具包，在一系列针对乌克兰用户的水坑攻击中（与俄罗斯情报部门有关），以及在一个由来自中国的经济动机网络犯罪操作者（追踪为UNC6353）进行的大规模活动中。

"这种扩散是如何发生的尚不清楚，但表明存在二手零日漏洞的活跃市场，"威胁情报小组在其报告中说。

"除了这些已识别的漏洞利用外，多个威胁行为者现在已经获得了先进的利用技术，可以重复使用并与新识别的漏洞一起修改。"

威胁情报小组指出，Coruna对运行最新版iOS的设备无效，并鼓励所有用户更新设备——如果还无法更新，则启用锁定模式。

Q&A

Q1：CVE-2026-21385漏洞是什么？它有多严重？

A：CVE-2026-21385是一个影响高通芯片组的内存损坏零日漏洞，由整数溢出或图形环绕条件引起。该漏洞影响超过200个广泛使用的芯片组，攻击者可以利用它绕过安全控制并接管目标系统，目前正在野外遭到活跃利用。

Q2：为什么Android设备补丁推送会有延迟？

A：虽然谷歌已经修补了漏洞，但真正控制补丁何时到达用户设备的是原始设备制造商和移动运营商。在企业环境中，这个延迟可能从几天到几个月不等，在此期间设备处于暴露状态。

Q3：Coruna工具包是什么？如何防护？

A：Coruna是一个针对iOS 13.0至17.2.01版本iPhone的漏洞利用工具包，包含5个综合iOS漏洞利用链和23个漏洞利用。该工具包对运行最新版iOS的设备无效，用户应尽快更新设备或启用锁定模式来防护。