一、问题:两大主流平台同期暴露高危漏洞 据谷歌安全团队最新披露,高通旗下多款芯片组存一枚零日漏洞,编号为CVE-2026-21385;该漏洞由整数溢出或图形环绕条件触发,属于内存损坏问题;一旦被成功利用,攻击者可能绕过设备安全控制,继续完全接管系统。受影响芯片组超过200款,覆盖面广,涉及全球数以亿计的安卓设备。 谷歌在3月安全公告中指出,“有迹象表明CVE-2026-21385可能正在遭受有限的定向利用”。在安全领域,这通常意味着漏洞已被具备较强能力的攻击者用于实战攻击,甚至不排除国家级行为体参与。尽管谷歌未披露攻击者或受害者细节,但此表述已让安全社区保持高度警惕。 ,谷歌威胁情报小组同日披露了一套名为“Coruna”的漏洞利用工具包。该工具包面向iOS 13.0至17.2.01的iPhone设备,包含五条综合利用链,涉及23个独立漏洞,其中部分利用手法此前未公开,并具备绕过既有缓解措施的能力。 二、原因:漏洞扩散与补丁机制存在结构性缺陷 此次事件的风险不只来自漏洞本身,也暴露出移动安全生态中的结构性问题。 首先,从发现到通知存在明显时间差。CVE-2026-21385由谷歌安卓安全团队于2025年12月首次报告;高通在2026年2月2日才向客户发出通知,而修复工作在1月已开始推进。这意味着从漏洞确认到信息公开之间存在较长窗口,攻击者有机会在此期间实施定向攻击。 更关键的是,谷歌发布补丁并不等于用户立即获得防护。在安卓生态中,补丁下发节奏取决于设备厂商与运营商。安全机构Jamf高级企业战略经理亚当·博因顿指出,在企业环境里,这一延迟可能从数天拉长到数月;而在漏洞信息公开后,设备在更新到位前实际处于暴露状态。 “Coruna”工具包的扩散同样值得关注。谷歌威胁情报小组追踪发现,该工具包被一家未具名的商业间谍软件供应商的客户使用,出现在针对乌克兰用户的水坑攻击中,并与俄罗斯情报部门存在关联;此外,一个出于经济动机、来自中国的网络犯罪组织(UNC6353)也在大规模活动中使用了该工具包。研究人员认为,这表明零日漏洞及其利用技术存在活跃的地下交易与复用链条,先进能力正在被不同威胁方反复改造并投入攻击。 三、影响:企业与政府机构面临双重压力 事件影响已从技术层面延伸到政策与合规。3月3日,CVE-2026-21385被纳入美国网络安全和基础设施安全局(CISA)的“已知被利用漏洞目录”,并要求美国联邦文职执行部门在3月24日前完成安卓补丁部署。这一强制时限进一步说明该漏洞对政府与企业机构具备现实威胁。 对企业安全团队而言,难点在于补丁到达终端的时间往往不由企业掌控,但漏洞信息已在攻击者之间流通。企业在等待厂商推送更新期间,容易陷入被动防御。博因顿警告称,那些仍把移动设备视为次要攻击面、持续推迟更新的组织,很可能在后续安全事件中成为受害者。 四、对策:多层次响应机制亟待建立 针对上述风险,各方已采取或提出多项应对措施。 在补丁管理上,谷歌在3月安全公告中修复了安卓系统及对应的组件的100多个漏洞,并特别标注需重点关注的CVE-2026-0047(关键权限提升)和CVE-2026-0006(远程代码执行)。高通也已向合作伙伴发出通知,要求尽快完成补丁部署。 针对iOS平台,谷歌威胁情报小组确认,“Coruna”对运行最新版iOS的设备无效,并建议用户尽快升级系统;对暂时无法升级的用户,建议启用设备锁定模式以降低风险。 在制度层面,CISA对政府机构设定明确修复期限的做法也为企业提供了参考。安全专家普遍建议,企业应将移动设备纳入与桌面系统同等等级的安全管理体系,建立对补丁到达与部署状态的主动监测机制,而不是被动等待更新下发。
当芯片级漏洞成为地缘博弈中的新焦点,移动安全已不只是技术议题,也关乎关键基础设施的整体防护;从斯诺登事件到太阳风攻击,事实反复表明:在高度数字化的环境里,任何隐患都可能被放大为系统性风险。此次事件再次提醒业界——只有建立跨厂商、跨地区的协同响应机制,才能提升移动生态的整体安全韧性。