18 款 Android 暢銷手機存有最新 0-day 漏洞,已遭駭侵組織大規模利用.png

Google 資安團隊 Project Zero 發表最新警訊,指出一個新近發現的 Android 系統 0-day 漏洞,可讓駭客取得手機的完整控權;至少有 18 款暢銷 Android 手機存有此一漏洞。

被點名存有此漏洞的 Android 暢銷手機部分名單,包括:

○    Pixel 1
○    Pixel 1 XL
○    Pixel 2
○    Pixel 2 XL
○    Huawei P20
○    Xiaomi Redmi 5A
○    Xiaomi Redmi Note 5
○    Xiaomi A1
○    Oppo A3
○    Moto Z3
○    Oreo LG Phones
○    Samsung S7
○    Samsung S8
○    Samsung S9

Project Zero 的研究人員指出,這個漏洞可讓駭侵者在用戶不知情的情況下,將手機進行 Root 並取得完整控制權;用戶如果安裝了不安全的 App,或是進入含有惡意軟體下載連結的網站並點擊惡意連結,就有可能遭到攻擊。

研究人員說,這個漏洞是屬於「權限提升」型的漏洞,而且可在沙盒中執行。研究人員也懷疑,利用這個漏洞進行駭侵的工具,很可能是由以色列的 NSO 公司所研發,並提供其客戶使用;然而這個說法已遭 NSO 否認。

Google 將會在十月發行的 Android 安全修補更新中修補這個漏洞,但其他手機製造商是否也會即時推出安全更新, 目前還不清楚。

 

  • 參考連結:
    • https://bugs.chromium.org/p/project-zero/issues/detail?id=1942
    • https://arstechnica.com/information-technology/2019/10/attackers-exploit-0day-vulnerability-that-gives-full-control-of-android-phones/

twcert 發表在 痞客邦 留言(0) 人氣()