3月Android安全公告釋出的一項修補,是聯發科在去年5月就完成修補的漏洞,目前已遭駭客開採,不過,即使聯發科早已修補漏洞,卻無法強迫所有的裝置商完成更新,目前XDA Developers僅確定Amazon已修補漏洞,依然有數十家裝置製造商沒有作為。

Google在本周發表了今年3月的Android安全公告,修補了71個安全漏洞,而行動軟體開發社群XDA Developers,則大篇幅地針對當中的CVE-2020-0069漏洞提出警告,這是一個存在於聯發科晶片中的安全漏洞,允許駭客直接取得裝置的根權限,波及逾20款聯發科晶片與數百萬Android裝置,而且已被開採。

根據XDA Developers的報導,此一漏洞的攻擊細節在2019年4月時便已於該站曝光,且聯發科在去年5月就修補了該漏洞,只不過,由於相關晶片主要供中、低階的Adnroid手機、平板或機上盒使用,這些裝置製造商並無及時修補安全漏洞的習慣,再加上該漏洞已被駭客開採,才使得聯發科決定求助於Google,透過Google的安全公告督促業者修補。

XDA Developers解釋了CVE-2020-0069漏洞的嚴重性。一般而言,若要取得Andorid裝置的根權限,首先得解鎖引導程序,關閉啟動區的驗證,使用者才能在Android系統上注入執行檔與管理程式,但有了CVE-2020-0069漏洞,使用者完全不需要執行上述程序,只要複製已在網路上流傳的攻擊腳本程式,再於Shell中執行即能取得根權限,而且不只是裝置用戶,任何手機上的應用程式,只要在程式中嵌入該腳本程式,同樣能取得該裝置的根權限。

一旦取得了根權限,代表駭客就能安裝任何程式、賦予程式所有的許可,也能存取裝置上的所有資料。

只是就算聯發科去年就修補了該漏洞,卻無法強迫所有的裝置製造商更新,目前XDA Developers僅確定Amazon已修補了相關裝置上的此一漏洞,但依然有數十家裝置製造商裝聾作啞。

這使得聯發科在去年底告知Google此一漏洞,期望藉由Google的號召力來提醒製造商。Google則把CVE-2020-0069列為高度(High)嚴重漏洞,但並未進一步說明該漏洞的細節。


Advertisement

更多 iThome相關內容