Google於3月2日發布Android每月安全公告，揭露高達100多項漏洞，其中Qualcomm圖形核心的高危漏洞CVE-2026-21385已遭「有限且針對性」野外利用（limited, targeted exploitation）。美國網路安全暨基礎設施安全局（CISA）同日將該漏洞列入「已知被利用漏洞」（KEV）目錄。資安專家研判，此漏洞可能與商用間諜軟體（commercial spyware）或國家級威脅組織有關，對台灣大量使用Qualcomm晶片Android裝置的消費者與企業構成嚴重風險。

 

CVE-2026-21385為Qualcomm圖形核心（graphics kernel）中的整數溢位（integer overflow）漏洞，導致記憶體損壞（memory corruption），CVSS嚴重性評分7.8（High）。Qualcomm官方描述為「記憶體配置對齊時發生記憶體損壞」，需本地存取權限才能利用。Google公告明確指出：「有跡象顯示CVE-2026-21385正遭受有限且針對性利用。」雖然細節仍不明朗，但Jamf資安策略資深經理Adam Boynton表示，Google使用此特定措辭，通常意味攻擊「太精準而非犯罪基礎建設、太刻意而非機會主義」，極可能為國家級行動者或商用監控廠商所為。

 

Boynton進一步指出，類似語言曾用於2024年的另一Qualcomm零日漏洞CVE-2024-43047，後經Amnesty International Security Lab證實與商用間諜軟體有關。「雖然尚未證實本次相同，但攻擊特徵高度吻合。我們目前不知背後主使，但Google與Qualcomm的描述已透露端倪。」

 

另一值得注意漏洞為CVE-2026-0047，Android System元件中的嚴重本地權限提升漏洞（Critical），可導致無需額外權限的遠端程式碼執行（RCE），且不需使用者互動。漏洞源自ActivityManagerService.java中dumpBitmapsProto函式的權限檢查缺失。Google警告，若平台與服務緩解措施被關閉或成功繞過，影響將極為嚴重。Boynton認為，此漏洞需先取得裝置存取權才能利用，因此較適合用於攻擊鏈後段，而非獨立武器。「攻擊者可能先透過釣魚連結、惡意應用或另一RCE（如CVE-2026-0006）取得初始存取，再利用此漏洞提升權限、建立持久化。」他強調，這類鏈式攻擊難以即時歸因，常在事後鑑識才浮現。

 

修補現況方面，Qualcomm已發布CVE-2026-21385修補，並通知相關OEM廠商「強烈建議盡快部署於已上市裝置」。CVE-2026-0047修補則透過Android開源專案（AOSP）提供。然而，Android漏洞修補高度依賴OEM廠商，消費者最終仍需等待手機品牌推送更新。Boynton指出：「當漏洞利用速度越來越快，OEM延遲推送的時間差可能成為致命風險。」Qualcomm呼籲用戶「請聯繫裝置製造商查詢已上市裝置的修補狀態」。

 

對台灣影響深遠。台灣為全球Qualcomm晶片最大消費市場之一，Android手機市佔率高達七成以上，多款熱門機型搭載受影響晶片。若CVE-2026-21385確實遭商用間諜或國家級組織利用，可能針對高價值目標（如政府、金融、科技從業人員）發動精準攻擊，竊取通訊紀錄、位置資料或企業機密。近期台灣已多次傳出間諜軟體與手機入侵事件，此漏洞無疑加劇風險。

 

資安專家建議台灣用戶與企業立即採取以下防護措施：

 

Boynton總結：「這類零日漏洞的針對性利用，顯示Android生態仍存在結構性修補延遲問題。用戶最終仍需仰賴OEM速度，而非僅靠Google與Qualcomm。」

隨著商用間諜與國家級威脅持續瞄準行動裝置，台灣用戶應視此為警訊，立即強化手機資安防護，避免成為下一個「有限且針對性」攻擊的受害者。

 

 

出處： 基於Dark Reading文章《Qualcomm Zero-Day Exploited in Targeted Android Attacks》，作者Alexander Culafi，發布日期2026年3月4日；並參考Google Android安全公告、Qualcomm安全公告、CISA KEV目錄更新，以及Jamf資安策略資深經理Adam Boynton評論。