XDA開發人員今日(3月4日)透露,谷歌(GOOG.US)已修補了一個嚴重的安全漏洞,該漏洞通過聯發科(MediaTek)的芯片組影響了數以萬計的Android設備。
該漏洞是CPU固件中的rootkit。XDA表示,它可用一個簡單的腳本獲取幾乎所有使用聯發科64位芯片的安卓設備的超級用戶權限。它已經損害了數百種低、中端智能手機、平板電腦和機頂盒。
谷歌在3月份的安卓安全公告中提到了這個補丁(CVE-2020-0069)。雖然這是第一次公開披露,但有關該漏洞利用程序的詳細信息已經在線發布了幾個月。該漏洞仍然可以在許多設備型號上使用,且許多黑客正在積極使用它。更糟糕的是,許多設備根本無法獲得補丁。
而使用此漏洞的黑客可以通過多種方式造成損害。例如,他們可以在對方設備上安裝任何應用程序,然後向其授予入侵設備所需的任何權限。如果使用不當,root用戶訪問權可能會啟用勒索軟件,並可能使整個設備無法使用。
自2019年5月以來,聯發科已提供修補程序來修復此漏洞,但該公司無法強制原始設備製造商修復其設備。不過,XDA解釋說,谷歌可以通過許可協議和程序條款迫使許多原始設備製造商這樣做。儘管如此,根據XDA的說法,谷歌在採取行動前幾個月就知道了這個漏洞。考慮到這一缺陷的廣泛性和危險性,這令人非常不安。
該信息由智通財經提供。
相關文章
