• 0
華為小米等14款手機注意!安卓被爆高危零日漏洞
統計 閱讀時間大約3分鐘(1153字)

2019-10-05 19:48:46 華為小米等14款手機注意!安卓被爆高危零日漏洞

該漏洞是一個本地權限升級漏洞,可以對那些易受攻擊的設備進行全面攻擊。

【獵云網(微信號:ilieyun)】10月5日報道(編譯:商紂)

谷歌Project Zero研究小組的一名成員周四晚間表示,攻擊者正在利用谷歌Android移動操作系統中的零日漏洞,該漏洞可使他們完全控制至少18種不同的手機型號,其中包括4種不同的Pixel手機型號。

Project Zero研究小組成員Maddie Stone在一篇文章中說,有證據表明漏洞利用者NSO Group或其客戶之一正在積極利用該漏洞。與此同時,NSO的代表表示:“這次攻擊與NSO無關。”這個漏洞只需要很少或根本不需要定制就可以完全滲透進那些易受攻擊的手機類型。此漏洞可通過兩種方式進行攻擊:當目標安裝不受信任的應用時,或進行在線攻擊時,將該漏洞與針對Chrome瀏覽器用于呈現內容的代碼中的漏洞相結合。

Stone寫道:“該漏洞是一個本地權限升級漏洞,可以對那些易受攻擊的設備進行全面攻擊。如果這個漏洞是通過網絡發布的,它只需要與一個渲染器漏洞配對,因為這個漏洞可以通過沙盒訪問。”

易受攻擊手機的“非詳盡清單”包括:

Pixel 1、Pixel 1 XL、Pixel 2、Pixel 2 XL、Huawei P20、Xiaomi Redmi 5A、Xiaomi Redmi Note 5、Xiaomi A1、Oppo A3、Moto Z3、Oreo LG phones、Samsung S7、Samsung S8和Samsung S9。

高度嚴重的問題

谷歌Android團隊的一名成員在同一個Project Zero中表示,無論如何,這個漏洞將會在10月份的Android安全更新中被修補到Pixel系列手機上。目前還不清楚其他設備的修復時間表,可以明確的是Pixel 3和Pixel 3A設備不受影響。

Project Zero的另一名成員Tim Willis引用Android團隊成員的話寫道:“這個問題在Android上被列為高度嚴重的問題,它本身就需要安裝一個惡意應用,以便進行潛在的利用。其他任何載體,例如通過網頁瀏覽器,都需要使用附加的漏洞進行鏈接。”

谷歌代表在一封電子郵件中寫道:“Pixel 3和3A設備不容易受到這個問題的影響,而Pixel 1和Pixel 2設備將在10月份的安全發布中受到保護,該版本將在未來幾天發布。此外,已經向合作伙伴提供了一個補丁,以確保Android生態系統不受這個問題的影響。”

該漏洞最初出現在Linux內核中,在2018年初的版本4.14中打了補丁,沒有使用跟蹤CVE。這個修復被整合到Android內核的3.18、4.4和4.9版本中。由于帖子中沒有解釋原因,這些補丁從未進入Android安全更新。這就解釋了為什么早期的Pixel手機型號容易受到攻擊,而后期的Pixel卻不會。該缺陷現在被追蹤為CVE-2019-2215。

還記得NSO嗎?

Stone說,她從谷歌威脅分析小組得到的信息表明,這一漏洞“據稱被NSO使用或出售”,NSO是一家開發漏洞和間諜軟件的公司。

在這篇文章發布8小時后,NSO的代表在一封電子郵件中寫道:“NSO沒有、也永遠不會出售漏洞。這個漏洞與NSO無關,我們的工作重點是開發旨在幫助獲得許可的情報和執法機構用于拯救生命的產品。”

來自以色列的NSO在2016年和2017年發布了一款名為Pegasus的高級移動間諜軟件,引起了廣泛關注。它可以破解或根植于iOS和Android手機之中,因此這款軟件可以搜索私人信息、激活麥克風和攝像頭,并收集各種敏感信息。

Project Zero給了開發人員90天的時間在發布漏洞報告之前發布補丁,當然,如果出現主動攻擊,則無法避免。這起案件中的Android漏洞是在向Android團隊私下匯報七天后公布的。

雖然周四報告的漏洞很嚴重,但易受攻擊的Android用戶不必驚慌。像“Project Zero”所描述的那樣,代價高昂且目標明確的攻擊,被利用的機會微乎其微。同樣,在安裝補丁之前,推遲安裝非必要的應用并使用非Chrome瀏覽器也是有意義的。

AD:還在為資金緊張煩惱嗎?獵云銀企貸,全面覆蓋京津冀地區主流銀行及信托、擔保公司,幫您細致梳理企業融資問題,統籌規劃融資思路,合理撬動更大杠桿。填寫只需兩分鐘,剩下交給我們!詳情咨詢微信:zhangbiner870616

1、獵云網原創文章未經授權轉載必究,如需轉載請聯系官方微信號進行授權。
2、轉載時須在文章頭部明確注明出處、保留官方微信、作者和原文超鏈接。如轉自獵云網(微信號:ilieyun
)字樣。
3、獵云網報道中所涉及的融資金額均由創業公司提供,僅供參考,獵云網不對真實性背書。
推薦閱讀
記者名字
{{item.author_display_name}}
{{item.author_user_occu}}
{{item.author_user_sign}}
×
彩票精准计划软件