谷歌警告:安卓再現高危漏洞 華為小米等可能被黑客完全控制

本文來源:騰訊新聞

新智元報道

來源:arstechnica

編輯:張佳

【新智元導讀】谷歌警告:攻擊者正在利用Android移動操作系統中的「零日漏洞」進行攻擊,該漏洞可以使攻擊者完全控制至少18種不同型號的手機,包括華為、三星、小米等設備,連谷歌自家的Pixel系列手機也在劫難逃。

谷歌「零號項目」(Project Zero)研究小組的成員在當地時間周四晚間說,攻擊者正在利用谷歌的Android移動操作系統中的「零日漏洞」(zero-day vulnerability)進行攻擊,該漏洞可以使他們完全控制至少18種不同型號的手機,連谷歌自家的Pixel系列手機也在劫難逃。

「零號項目」成員Maddie Stone 在帖子中說:有證據表明,該漏洞正在被以色列間諜軟件交易商NSO集團或其客戶之一積極利用。但是,NSO代表表示,「漏洞與NSO無關。」

該漏洞只需要很少或根本不需要定制即可完全獲得被攻擊手機的root權限。

此漏洞可通過兩種方式進行攻擊:

當目標安裝不受信任的應用程序時

通過將此漏洞與針對chrome瀏覽器用於呈現內容的代碼中的漏洞的第二次攻擊結合使用,來進行在線攻擊。

「該漏洞是一個本地特權升級漏洞,它可以對易受攻擊的設備進行全面攻擊。」 Stone 寫道:「如果此漏洞是通過Web傳遞的,則只需與呈現程序漏洞配對,因為此漏洞可通過沙盒訪問。」

受影響的手機型號包括但不限於:

Pixel 1、Pixel 1 XL、Pixel 2、Pixel 2 XL

華為P20

小米紅米5A、小米紅米Note 5、小米A1

Oppo A3

摩托羅拉Z3

Oreo LG

三星S7、三星S8、三星S9

這次漏洞有多嚴重?

谷歌Android團隊的一位成員表示,無論如何,該漏洞都將在十月份的Android安全更新中(至少在Pixel設備中)進行修補,該更新可能會在未來幾天內發佈。其他設備的補丁時間目前尚不清楚。Pixel 3和Pixel 3a設備不受影響。

「此問題在Android設備上非常嚴重,它本身需要安裝惡意應用程序以進行潛在攻擊,」另一位「零號項目」成員Tim Willis援引Android團隊成員的話寫道。「任何其他媒介,例如通過網絡瀏覽器,都需要使用額外的漏洞進行鏈接。」

Google代表在一封電子郵件中寫道:「 Pixel 3和3a設備不容易受到此問題的影響,Pixel 1和2設備將受到十月安全版本的保護,該版本將在未來幾天內交付。此外,已經為合作夥伴提供了一個補丁,以確保保護Android生態系統不受此問題的影響。」

use-after-free 漏洞最初出現在Linux內核中,並於2018年初在4.14版中進行了修補。這個修復被合併到Android內核的3.18、4.4和4.9版本中。由於帖子中未解釋的原因,這些補丁從未進入Android安全更新。這就可以解釋為什麼早期的Pixel機型容易受到攻擊,而後來的機型卻沒有受到攻擊。該漏洞現在被跟蹤為CVE-2019-2215。

NSO到底是做什麼的?

斯通說,從谷歌威脅分析小組獲得的信息表明,該漏洞「被NSO集團使用或出售」,NSO集團是一家開發漏洞和間諜軟件的公司,它與各個政府實體進行交易。

NSO代表在該帖子發佈八小時後發送的一封電子郵件中寫道:

「 NSO不會出售,也絕不會出售漏洞利用程序或漏洞。此漏洞與NSO無關。我們的工作重點是開發旨在幫助獲得許可的情報和執法機構挽救生命的產品。」

總部位於以色列的NSO在2016年和2017年發現了一款名為Pegasus的先進移動間諜軟件,引起了廣泛關注。

它可以越獄或獲得iOS和Android設備的root權限,這樣就可以在私人信息中搜索,激活麥克風和攝像頭,並收集各種其他敏感信息。來自多倫多大學公民實驗室的研究人員確定,iOS版本的Pegasus針對的是阿拉伯聯合酋長國的政治異見人士。

今年早些時候,Citizen Lab發現了證據,揭露了NSO 針對WhatsApp Messenger開發的高級漏洞,通過該漏洞還在易受攻擊的手機上安裝了間諜軟件,而終端用戶無需做任何操作。一項針對Citizen Lab研究人員的秘密調查也將重點放在了NSO上。

「作為NSO的客戶,我擔心NSO的名聲引起了安全團隊和研究人員的嚴格審查,這可能導致我最敏感的間諜活動遭到破壞並暴露出來,」 Citizen Lab高級研究員John Scott-Railton告訴Ars。

「零號項目」允許開發者在發佈漏洞報告前發佈90天的補丁,但漏洞被積極利用情況除外。在這種情況下,Android漏洞是在私下向Android團隊報告的7天後發佈的。

盡管周四報告的漏洞很嚴重,但易受攻擊的Android用戶不應驚慌。被「零號項目」描述的那樣昂貴和針對性的攻擊所利用的機會非常渺茫。

在此提醒大家,在補丁未安裝前,最好不要安裝不必要的應用程序,也不要使用非Chrome瀏覽器。

閱讀原文