Google 安全團隊 Project Zero 的研究人員近日披露了一個活躍的 Android 漏洞,該漏洞影響了一些受歡迎的裝置,其中包括 Pixel 2, 華為 P20 Pro 和紅米 Note 5 等。
Project Zero 發表的帖子顯示該漏洞是在上週被發現的,當時攻擊者正在利用它完全控制 Android 裝置。帖子還指出,要利用此漏洞無需或只需最小自定義的 Root 許可權即可。
團隊還列出了一些受影響的執行 Android 8.x 或更高版本的裝置:
搭載 Android 9 或 Android 10 preview 的 Pixel 1, 1 XL, 2 和 2 XL(Pixel 3 和 3a 裝置不受攻擊)華為 P20紅米 5A紅米 Note 5小米 A1Oppo A3Moto Z3Oreo LG 手機三星 Galaxy S7, S8, S9……對此,Google 表示即將釋出的 Android 10 月安全更新將修復該漏洞,並已通知 Android 合作伙伴推送更新,安全補丁可在 Android Common Kernel 上獲取。
據了解,該漏洞早已在 Android 核心的早期版本(3.18, 4.4 和 4.9)中被修復,但現在卻再次出現了。事實上該漏洞最早源於 Linux 核心,早在 2018 年初就被發現並修復,但出於未解釋的原因,補丁沒有整合進 Android 的安全更新。
安全研究人員介紹,攻擊者無法使用遠端程式碼執行(RCE)來利用此漏洞。但是,如果我們從不受信任的來源安裝應用程式,則攻擊者可以通過這個過程來利用漏洞。如果攻擊者將其與 Chrome 瀏覽器中的漏洞進行配對以渲染內容,則他也可以通過此來利用該漏洞。
另外,安全研究人員還推測該漏洞已被以色列公司 NSO 使用,該組織是一個基於 Isreal 的組織,它向政府出售工具以利用 iOS 和 Android。而 NSO 的代表則否認了這一說法。
本文標題:Android 0day 漏洞影響 Google、小米和華為等品牌手機
本文地址:https://www.oschina.net/news/110372/google-xiaomi-and-huawei-devices-affected-by-zero-day-flaw