株洲新闻网

首页 > 正文

华为小米等14款手机注意!安卓被爆高危零日漏洞

www.xahq.cn2019-11-05

[猎云网(微信号:)]于10月5日报道(编译:上虞)

Google Project Zero研究小组的一位成员周四晚间表示,攻击者正在利用Google Android移动操作系统中的零日漏洞,该漏洞使他们能够完全控制至少18种不同的手机型号,其中包括4种不同的Pixel手机楷模。

零号项目研究团队成员Maddie Stone在一篇文章中说,有证据表明NSO Group的开发者之一或其客户之一正在积极利用此漏洞。同时,国家安全局的代表说:“这次袭击与国家安全局无关。”此漏洞几乎不需要定制,就可以完全渗透到易受攻击的手机类型中。可以通过两种方式利用此漏洞:目标安装了不受信任的应用程序时,或者发生在线攻击时,该漏洞与Chrome浏览器用于呈现内容的代码中的漏洞相结合。

Stone写道:“此漏洞是一个本地特权升级漏洞,可以对易受攻击的设备进行充分利用。如果该漏洞是通过网络发布的,则只需与渲染器漏洞配对,因为可以通过以下方式访问此漏洞:沙箱。”

易受攻击的手机的“非详尽列表”包括:

像素1,像素1 XL,像素2,像素2 XL,华为P20,小米Redmi 5A,小米Redmi注意5,小米A1,Oppo A3,Moto Z3,Oreo LG手机,三星S7,三星S8和三星S9 。

Google Android团队的一名成员在同一Project 0中表示,无论如何,此漏洞将在10月的安全更新中修补到Pixel系列手机上。尚不清楚其他设备的维修时间表,很明显Pixel 3和Pixel 3A设备不受影响。

零号项目的另一位成员蒂姆威利斯(Tim Willis)引用Android团队成员的话说:“此问题在Android上被列为非常严重的问题,它本身需要安装恶意应用程序才能潜在使用。其他任何载体,例如例如通过网络浏览器,则需要与其他漏洞相关联。”

Google代表在一封电子邮件中写道:“ Pixel 3和3A设备不容易受到此问题的影响,Pixel 1和Pixel 2设备将在10月的安全版本中受到保护,该安全版本将在接下来的几天内发布。此外,已向合作伙伴提供了补丁程序,以确保Android生态系统不受此问题的影响。”

此漏洞首次出现在Linux内核中,并于2018年初在4.14版中进行了修补,而没有跟踪CVE。此修补程序已集成到3.18、4.4和4.9版本的Android内核中。这些补丁从未进入Android安全更新,因为该帖子没有任何解释。这就解释了为什么早期的Pixel手机型号容易受到攻击,而后来的Pixels则不容易受到攻击。现在将此缺陷跟踪为CVE-2019-2215。

Stone表示,她从Google威胁分析小组获得的信息表明,该漏洞“据称是由NSO使用或出售的” NSO,一家利用漏洞和间谍软件的公司。

本文经过8个小时,NSO代表在一封电子邮件中写道:33,360“ NSO不会也不会出售该漏洞。此漏洞与NSO无关,我们的重点是开发可帮助获得许可的情报和执法机构用来挽救生命。”

以色列国家安全局(NSO)在2016年和2017年发布了一种称为Pegasus的高级移动间谍软件,引起了广泛关注。它可以破解或植根于iOS和Android手机中,因此该软件可以搜索私人信息,激活麦克风和相机并收集敏感信息。

零项目计划使开发人员有90天的时间发布补丁程序,然后再发布漏洞报告。当然,如果发生主动攻击,则无法避免。在此情况下,Android漏洞是在私下向Android团队报告的7天后宣布的。

尽管周四报道的漏洞很严重,但有漏洞的Android用户不必惊慌。如“零计划”中所述,代价高昂的针对性攻击几乎没有机会被利用。另外,在安装修补程序之前,可以推迟非必需应用程序的安装并使用非Chrome浏览器。

-

热门浏览
热门排行榜
热门标签
日期归档