使用國內企業晶片的 Android 手機出現嚴重資安漏洞.png

廣泛用於中低階 Android 手機的國內某企業 64 位元處理器,日前被發現存有嚴重資安漏洞,用簡單的指令即可取得 root 權限。

這個 CVSS 嚴重程度評分高達 9.3 分的極嚴重漏洞,在 2019 年就於 XDA-Developer 上被獨立資安研究人員提出,並將之命名為「MediaTek-SU」。

該研究人員是在試圖破解自己的 Amazon Fire 平板電腦時,發現這個嚴重的漏洞;只要用幾行指令,連 bootloader 都不需要,就可以立即取得系統最高的 root 權限,幾乎可以為所欲為。

據 XDA-Developers 網站上的資料,下列該企業的晶片都存有這個嚴重的漏洞:MT6735、MT6737、MT6738、MT6739、MT6750、MT6753、MT6755、MT6757、MT6758、MT6761、MT6762 、MT6763、MT6765、MT6771、MT6779、MT6795、MT6797、MT6799、MT8163、MT8167、MT8173、MT8176、MT8183、MT6580 和 MT6595;以品牌來看則至少包括 Vivo、華為、榮耀、Oppo、三星等,系統版本則為 Android 7、8、9。

雖然在去年就修補了這個漏洞,新版的 Android 10 也已不受影響,但由於處理器多半用在中低階 Android 裝置,生產這類中低階裝置的廠商,多半不會在產品上市後積極提供系統軟體更新服務,因此市面上恐有大量 Android 裝置存有這個漏洞,而且難以全面修補。

 

 

  • CVE編號:CVE-2020-0069
  • 影響產品:採用國內某企業處理器的 Android 7、8、9 裝置

▼參考連結▼

【更多資訊產品漏洞】請參考 https://twcert.org.tw/twcert/advistory

    twcert 發表在 痞客邦 留言(0) 人氣()