【導讀】谷歌警告:攻擊者正在利用Android移動作業系統中的“零日漏洞”進行攻擊,該漏洞可以使攻擊者完全控制至少18種不同型號的手機,包括華為、三星、小米等裝置,連谷歌自家的Pixel系列手機也在劫難逃。
谷歌“零號專案”(Project Zero)研究小組的成員在當地時間週四晚間說,攻擊者正在利用谷歌的Android移動作業系統中的“零日漏洞”(zero-day vulnerability)進行攻擊,該漏洞可以使他們完全控制至少18種不同型號的手機,連谷歌自家的Pixel系列手機也在劫難逃。
“零號專案”成員Maddie Stone 在帖子中說:有證據表明,該漏洞正在被以色列間諜軟體交易商NSO集團或其客戶之一積極利用。但是,NSO代表表示,“漏洞與NSO無關。”
該漏洞只需要很少或根本不需要定製即可完全獲得被攻擊手機的root許可權。
此漏洞可通過兩種方式進行攻擊:
當目標安裝不受信任的應用程式時通過將此漏洞與針對chrome瀏覽器用於呈現內容的程式碼中的漏洞的第二次攻擊結合使用,來進行線上攻擊。“該漏洞是一個本地特權升級漏洞,它可以對易受攻擊的裝置進行全面攻擊。” Stone 寫道:“如果此漏洞是通過Web傳遞的,則只需與呈現程式漏洞配對,因為此漏洞可通過沙盒訪問。”
受影響的手機型號包括但不限於:
Pixel 1Pixel 1 XLPixel 2Pixel 2 XL華為P20小米紅米5A小米紅米Note 5小米A1Oppo A3摩托羅拉Z3Oreo LG三星S7三星S8三星S9這次漏洞有多嚴重?
谷歌Android團隊的一位成員表示,無論如何,該漏洞都將在十月份的Android安全更新中(至少在Pixel裝置中)進行修補,該更新可能會在未來幾天內釋出。其他裝置的補丁時間目前尚不清楚。Pixel 3和Pixel 3a裝置不受影響。
“此問題在Android裝置上非常嚴重,它本身需要安裝惡意應用程式以進行潛在攻擊,”另一位“零號專案”成員Tim Willis援引Android團隊成員的話寫道。“任何其他媒介,例如通過網路瀏覽器,都需要使用額外的漏洞進行連結。”
Google代表在一封電子郵件中寫道:“ Pixel 3和3a裝置不容易受到此問題的影響,Pixel 1和2裝置將受到十月安全版本的保護,該版本將在未來幾天內交付。此外,已經為合作伙伴提供了一個補丁,以確保保護Android生態系統不受此問題的影響。”
use-after-free 漏洞最初出現在Linux核心中,並於2018年初在4.14版中進行了修補。這個修復被合併到Android核心的3.18、4.4和4.9版本中。由於帖子中未解釋的原因,這些補丁從未進入Android安全更新。這就可以解釋為什麼早期的Pixel機型容易受到攻擊,而後來的機型卻沒有受到攻擊。該漏洞現在被跟蹤為CVE-2019-2215。
NSO到底是做什麼的?
斯通說,從谷歌威脅分析小組獲得的資訊表明,該漏洞“被NSO集團使用或出售”,NSO集團是一家開發漏洞和間諜軟體的公司,它與各個政府實體進行交易。
NSO代表在該帖子釋出八小時後傳送的一封電子郵件中寫道:
“ NSO不會出售,也絕不會出售漏洞利用程式或漏洞。此漏洞與NSO無關。我們的工作重點是開發旨在幫助獲得許可的情報和執法機構挽救生命的產品。”
總部位於以色列的NSO在2016年和2017年發現了一款名為Pegasus的先進移動間諜軟體,引起了廣泛關注。
它可以越獄或獲得iOS和Android裝置的root許可權,這樣就可以在私人資訊中搜索,啟用麥克風和攝像頭,並收集各種其他敏感資訊。來自多倫多大學公民實驗室的研究人員確定,iOS版本的Pegasus針對的是阿拉伯聯合大公國的政治異見人士。
今年早些時候,Citizen Lab發現了證據,揭露了NSO 針對WhatsApp Messenger開發的高階漏洞,通過該漏洞還在易受攻擊的手機上安裝了間諜軟體,而終端使用者無需做任何操作。一項針對Citizen Lab研究人員的祕密調查也將重點放在了NSO上。
“作為NSO的客戶,我擔心NSO的名聲引起了安全團隊和研究人員的嚴格審查,這可能導致我最敏感的間諜活動遭到破壞並暴露出來,” Citizen Lab高階研究員John Scott-Railton告訴Ars。
“零號專案”允許開發者在釋出漏洞報告前釋出90天的補丁,但漏洞被積極利用情況除外。在這種情況下,Android漏洞是在私下向Android團隊報告的7天后釋出的。
儘管週四報告的漏洞很嚴重,但易受攻擊的Android使用者不應驚慌。被“零號專案”描述的那樣昂貴和針對性的攻擊所利用的機會非常渺茫。
在此提醒大家,在補丁未安裝前,最好不要安裝不必要的應用程式,也不要使用非Chrome瀏覽器。