聯發科晶片漏洞CVE-2020-0069允許駭客取得裝置根權限，影響數百萬Android裝置

Google在本周發表了今年3月的Android安全公告，修補了71個安全漏洞，而行動軟體開發社群XDA Developers，則大篇幅地針對當中的CVE-2020-0069漏洞提出警告，這是一個存在於聯發科晶片中的安全漏洞，允許駭客直接取得裝置的根權限，波及逾20款聯發科晶片與數百萬Android裝置，而且已被開採。

根據XDA Developers的報導，此一漏洞的攻擊細節在2019年4月時便已於該站曝光，且聯發科在去年5月就修補了該漏洞，只不過，由於相關晶片主要供中、低階的Adnroid手機、平板或機上盒使用，這些裝置製造商並無及時修補安全漏洞的習慣，再加上該漏洞已被駭客開採，才使得聯發科決定求助於Google，透過Google的安全公告督促業者修補。

XDA Developers解釋了CVE-2020-0069漏洞的嚴重性。一般而言，若要取得Andorid裝置的根權限，首先得解鎖引導程序，關閉啟動區的驗證，使用者才能在Android系統上注入執行檔與管理程式，但有了CVE-2020-0069漏洞，使用者完全不需要執行上述程序，只要複製已在網路上流傳的攻擊腳本程式，再於Shell中執行即能取得根權限，而且不只是裝置用戶，任何手機上的應用程式，只要在程式中嵌入該腳本程式，同樣能取得該裝置的根權限。

一旦取得了根權限，代表駭客就能安裝任何程式、賦予程式所有的許可，也能存取裝置上的所有資料。

只是就算聯發科去年就修補了該漏洞，卻無法強迫所有的裝置製造商更新，目前XDA Developers僅確定Amazon已修補了相關裝置上的此一漏洞，但依然有數十家裝置製造商裝聾作啞。

這使得聯發科在去年底告知Google此一漏洞，期望藉由Google的號召力來提醒製造商。Google則把CVE-2020-0069列為高度（High）嚴重漏洞，但並未進一步說明該漏洞的細節。