(圖/翻攝自 Google 官網)
Google 稍早依慣例公佈了今年 3 月的 Android 資安報告,其中的一項漏洞「CVE-2020-0069」,因 CVSS 指標來到 9.3/10,可能是近期 Android 生態圈中,屬一屬二重大的資安漏洞。Google 資料中顯示,該漏洞與聯發科的處理晶片有關。 一項由 Google 公佈的漏洞影響了搭載聯發科處理器的手機(圖/翻攝自 Google 官網)
這項漏洞,可以讓開發者或惡意人士,無需 bootloader 程序,就能獲得 root 權限,並存取或寫入內核記憶體(Kernel memory),進而「完全控制」整個 Android 系統,再對各種資料予起予求。手機上的任何應用程式如果願意,也都可以經由這項漏洞,達到控制特定 Android 手機的目的。
而據科技網站《XDA》消息,目前較易受到影響的裝置,包括採用以下聯發科處理器的裝置:MT6735、MT6737、MT6738、MT6739、MT6750、MT6753、MT6755、MT6757、MT6758、MT6761、MT6762 、MT6763、MT6765、MT6771、MT6779、MT6795、MT6797、MT6799、MT8163、MT8167、MT8173、MT8176、MT8183、MT6580 和 MT6595。
若以品牌來看,可能「中招」的手機,至少包括 Vivo、華為、榮耀、OPPO 以及三星旗下的產品,系統版本則為 Android 7、Android 8 和 Android 9。另外,儘管在執行 Android 10 的手機上,該漏洞帶來的影響會受到防護,不過因多數搭載聯發科處理器皆為平價手機,除了後續的升級更新較不積極,用戶在使用習慣上,也較可能會輕忽這類資安消息。
《XDA》也稱,該漏洞其實早在去年 2 月,就在《XDA 論壇》上曝光,來源則是一名國外網友嘗試破解自己的 Amazon Fire 平板,並將手法分享到社群上,卻意外地被發現這其實是一個大型的資安漏洞,但當時為了配合 Google 要求,選擇延後曝光這一消息。
儘管 Amazon 和聯發科皆在去年就進行更新,但到了今年 3 月,仍有數十家採用聯發科處理器的 OEM 廠商沒有更新聯發科提供的補丁,因此,聯發科已轉向 Google 求助,希望藉由 Google 的政策和 Android 安全更新來解決相關問題。
至於憂心的用戶,則只能先等待廠商推送安全性更新(實際上該漏洞已至少存在了幾個月)。此外,若預算足夠,或許也應盡量選擇更新頻率較高、支援期限也較長的手機品牌。《XDA》也提供一個腳本,讓用戶檢查自己的手機是否面臨該漏洞的威脅。
|