近日，继三星系列手机采用的猎户座CPU内核驱动被曝存在高危漏洞之后，小米等品牌手机搭载的芯片组驱动也被曝存在一个内核设备漏洞（国际标准编号：CVE-2012-4220, CVE-2012-4221, CVE-2012-4222）。利用该漏洞，黑客可入侵手机后执行任何操作，包括强行格机，恶意吸费、盗取网银账户密码等。

据360手机安全专家分析，这一漏洞实际利用了高通芯片的/dev/diag内核设备中所存在的一个接口缺陷，黑客可以精心构造一个恶意请求，调用该接口来执行攻击代码，模拟运行指令来执行攻击代码，从而实施破坏行为。

例如，其可通过执行格机指令，快速清空手机中存储的短信、通讯录、照片等隐私数据，还可操控手机在后台外发短信订购扣费业务等，“而由于可对指令进行灵活调整，黑客可利用此漏洞执行不同的攻击，存在极多后续隐患。”360手机安全专家表示。

根据高通官方公告显示，目前包括小米、联想、酷派等数十款不同型号的手机都搭载此处理器，而援引小米官方新闻显示，其仅2013年1月5日当天便出货25万台，加之其它品牌手机的持续出货，大量存在此漏洞的设备正在极具扩散中。

截至发稿时，高通官方已作出积极响应，已向相关终端厂商提供补丁，而在相关厂商正式向手机用户推送修补信息的间隔期中，为避免此漏洞可能威胁到上述手机用户的系统安全，360手机卫士已在第一时间推出临时补丁，供用户选择安装。

同时，360手机安全专家建议用户，及时关注相关终端厂商的官方公告，及时更新操作系统版本，避免因设备存在安全漏洞而遭遇黑客攻击，并为手机安装如“360手机卫士”等安全产品，使用安全体检或手机杀毒功能，查杀最新的木马和恶意软件，最大程度避免漏洞带来的安全威胁。

附：360手机卫士新版下载地址：http://shouji.360.cn

文章来源: