Photo by Tinh Khuong on https://unsplash.com/photos/zR7iZD5sMeE

Google安全研究團隊Project Zero在上周揭露一個Android零時差漏洞CVE-2019-2215,這是一個釋放後使用(use-after-free)漏洞,允許駭客擴張權限並取得裝置的控制權,且已有攻擊程式在網路上流竄,殃及包括Pixel在內的十多款Android手機。

揭露此一漏洞的安全研究人員Maddie Stone表示,該漏洞其實曾在2017年12月被修補,只是不知道為什麼在最近的Android版本又重新出現,它波及Pixel 1/1 XL、Pixel 2/2 XL、Huawei P20、Xiaomi Redmi 5A、Xiaomi Redmi Note 5、Xiaomi A1、Oppo A3、Moto Z3、Oreo LG phones,以及Samsung S7/S8/S9等十多款Android手機,也可能有其它手機含有該漏洞。

雖然就算是Google的Pixel 1與Pixel 2系列手機都受累,但Pixel 3系列並未被波及。

在攻擊程式現身於網路上之後,駭客只要在目標裝置上安裝惡意程式,或是搭配瀏覽器的攻擊程式,就有機會取得裝置控制權。

Stone推斷此一零時差攻擊程式是由以色列駭客公司NSO Group所打造,但NSO向媒體澄清,此事與該公司無關,強調NSO並未出售漏洞或攻擊程式,所從事的都是合法業務,例如協助合法的情報或執法機構挽救生命。

至於Google則準備在即將釋出的10月Android安全公告中,修補此一漏洞。


Advertisement

更多 iThome相關內容