与这些攻击相关联的其中一个高通漏洞是CVE-2024-43047。谷歌 Project Zero 团队在2024年10月将其标记为已遭活跃利用的0day漏洞，安卓在11月份获得修复方案。

从通信内容来看，这款间谍软件似乎由塞尔维亚当局部署。该通信由Amnesty International 安全实验室查看记者从警局取回的手机时发现。该实验室在一份报告中提到，“2024年2月，位于塞尔维亚季米特洛夫格勒市的一名报道本地新闻的独立记者 Slaviša Milanov，因看似平常的交通违章被带到警局。Slaviša获释后，发现自己按警察要求放到警局前台的手机表现奇怪：数据和无线设置被关闭了。Slaviša认为这可能是被黑的迹象，并出于对塞尔维亚记者所面临的监控威胁的警惕，联系 Amnesty International 安全实验室分析自己的手机。”

随后，研究员向谷歌威胁分析团队TAG提供了利用工件，发现了位于高通DSP 驱动中的缺陷。该驱动用于将多媒体处理卸载到DSP核心。虽然谷歌不确定NoviSpy 利用了哪些漏洞，但有证据表明这款间谍软件通过一个利用链绕过了安卓安全机制并将自身持久地安装在内核层。

报告提到，塞尔维亚安全信息局 (BIA) 和塞尔维亚警察在对设备进行物理监管期间，使用 Cellebrite 解锁工具解锁手机后，部署了 NoviSpy。

从被遭篡改设备上的取证证据来看，研究人员认为 Cellebrite 利用高通的多个0day漏洞解锁安卓手机。报告提到，“在做研究期间，安全实验室还发现了取证证据，安卓中的一个提权0day漏洞用于在塞尔维亚一名活动家的设备上提权。该漏洞是与安卓厂商谷歌的安全研究员协同发现的，影响使用热门高通芯片集的数量庞大的安卓设备，影响全球数百万台安卓设备。”

该间谍软件和与BIA直接相关的IP范围的服务器进行通信，而样本中的配置数据发现了与该国之前间谍软件采购计划相关的一名人员。间谍软件的目标包括记者、人权活动家和政府异见人士。报告中提到的特定案例包括 Slaviša Milanov、Krokodil非政府组织的一名成员以及三名活动家。不过，研究员表示这些技术证据表明，在过去几年NoviSpy 至少被安装在数十台甚至数百台安卓设备中。

从最初的攻陷来看，Amnesty International 表示，恢复的工件与利用安卓呼叫特性如 Voci-over-Wifi 或VoLTE 功能的一次零点击攻击活动有关。它们存在于已查看的失陷设备中，是 RCS 呼叫的一部分。报告提到，一些活动家可能已遭一个零点击安卓漏洞利用的攻击。从由很多数位组成的不合法电话号码处接收电话通话即可利用该漏洞。

谷歌TAG收到由 Amnesty International 捕获的利用所生成的内核 panic 日志，修复了高通adsprpc 驱动中的6个漏洞。这些驱动用于数百万台安卓设备。

这六个漏洞如下：

谷歌研究员证实CVE-2024-43047已遭利用并假设称余下漏洞在复杂攻击链中遭利用。在本文写作之时，高通尚未发布 CVE-2024-49848的补丁，尽管谷歌已在145天前就将其告知高通。谷歌也提到，高通超过了对CVE-2024-49848和CVE-2024-21455的打补丁期限，打补丁的行业标准期限为90天。

对此，高通的一名发言人提到，“开发支持强健安全性和隐私性的技术是高通技术公司的优先工作。我们感谢谷歌Project Zero 和 Amnesty International 安全实验室研究人员的协同披露。针对他们的FastRPC 驱动研究，自2024年9月开始，我们已经向客户提供了修复方案。我们鼓励终端用户届时应用设备厂商推出的安全更新。”

高通表示，CVE-2024-49848的修复方案已开发，目前在走披露流程，相关的安全通告将于2025年1月发布。关于无CVE编号的漏洞，高通表示其补丁已在2024年9月份与CVE-2024-33060的补丁封装，因此已得到修复。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~