●概述：
負責維護Android的Open Handset Alliance，係由Google成立，於1月份安全公告列出38漏洞散落於多項元件與架構，駭客可由近端或遠端進行探勘，觸發MediaTek、NVIDIA、Media framework之overflow或use after free等異常狀況，藉此獲得高級權限且任意執行程式碼；另基於Kernel中High-precision timers元件特性，易被挖掘隱密旁道訊息，與「鬼魅、熔毀」CPU漏洞有關；較特別的弱點則涉及硬體大廠，HTC硬體解碼器出錯恐停止重要系統程序，LG component未檢驗字串結尾空字元，允許持有者忽略secure boot而獲本機權限，Google已釋出多數安全更新，然因資安顧慮，部分Qualcomm component漏洞細節暫被封鎖，擇期公開。
●編註：
(1)擴權事件：在Android runtime、Media framework、System、Kernel component、MediaTek component、NVIDIA component、Qualcomm component多有同質性弱點，駭客可藉特製檔案造成代碼執行，且擁有系統程序之權限。
(1-1)Android runtime之URLStreamHandler功能在解析URL，然因輸入驗證失當，導致遠距擴權後能迴避對用戶之互動式驗證要求，等同通過身分稽核用戶。
(1-2)MediaTek component內libMtkOmxVdec.so有buffer overflow缺點，讓駭客獲得高級權力以操作受害系統。
(1-3)NVIDIA驅動程式受本機惡意程式觸發整數溢位後，可能衍生任何執行檔都視同系統程序層級。
(2)Remote code execution
囿於Media framework、System特定元件處理buffer之瑕疵，造成use after free類型弱點而導致RCE。譬如Media framework內SoftHEVC處理記憶體配置時可能觸發out-of-bound寫入，甚至攻擊者無需經由任何互動式驗證獲得執行授權。
(3)洩漏訊息
鑒於Kernel component中High-precision timers特性，易遭遇旁道式攻擊側錄訊息而洩露本機系統重要資訊，改善該弱點可縮減接觸High-precision timers次數，有助抵禦「鬼魅」、「熔毀」危害ARM處理器之推測性執行結果。
(4)特殊搭配元件
(4-1)HTC相關元件中HEVC硬體式解碼器，處理分頁表出錯將造成重要系統程序停工。
(4-2)LG component之bootloader漏洞，歸咎於讀取字串時未檢驗結尾空字元，將發生越界寫入，結果繞開secure boot而取得本機權限，能恣意使用完整功能。
(5)Denial of service
在Kernel和System有部分瑕疵元件，如關係到Kernel的af_packet.c原始碼，處理TCP封包表頭時錯亂，令本機用戶有機會觸發memory corruption。