河南夢之網網絡科技有限公司
夢之網科技出品
掃描關注夢之網科技微信公眾賬號

掃小程序碼聯系客服

華為小米等14款手機注意!安卓被爆高危零日漏洞-鄭州網站建設

夢之網科技?2019-10-07?經驗之談?

華為小米等14款手機注意!安卓被爆高危零日漏洞-鄭州網站建設

0

華為小米等14款手機注意!安卓被爆高危零日漏洞

統計

閱讀時間大約3分鐘(1153字)

2019-10-05 19:48:46 華為小米等14款手機注意!安卓被爆高危零日漏洞

該漏洞是一個本地權限升級漏洞,可以對那些易受攻擊的設備進行全面攻擊。

【獵云網(微信號:

華為小米等14款手機注意!安卓被爆高危零日漏洞-鄭州網站建設

)】10月5日報道(編譯:商紂)

谷歌Project Zero研究小組的一名成員周四晚間表示,攻擊者正在利用谷歌Android移動操作系統中的零日漏洞,該漏洞可使他們完全控制至少18種不同的手機型號,其中包括4種不同的Pixel手機型號。

Project Zero研究小組成員Maddie Stone在一篇文章中說,有證據表明漏洞利用者NSO Group或其客戶之一正在積極利用該漏洞。與此同時,NSO的代表表示:“這次攻擊與NSO無關。”這個漏洞只需要很少或根本不需要定制就可以完全滲透進那些易受攻擊的手機類型。此漏洞可通過兩種方式進行攻擊:當目標安裝不受信任的應用時,或進行在線攻擊時,將該漏洞與針對Chrome瀏覽器用于呈現內容的代碼中的漏洞相結合。

Stone寫道:“該漏洞是一個本地權限升級漏洞,可以對那些易受攻擊的設備進行全面攻擊。如果這個漏洞是通過網絡發布的,它只需要與一個渲染器漏洞配對,因為這個漏洞可以通過沙盒訪問。”

易受攻擊手機的“非詳盡清單”包括:

Pixel 1、Pixel 1 XL、Pixel 2、Pixel 2 XL、Huawei P20、Xiaomi Redmi 5A、Xiaomi Redmi Note 5、Xiaomi A1、Oppo A3、Moto Z3、Oreo LG phones、Samsung S7、Samsung S8和Samsung S9。

高度嚴重的問題

谷歌Android團隊的一名成員在同一個Project Zero中表示,無論如何,這個漏洞將會在10月份的Android安全更新中被修補到Pixel系列手機上。目前還不清楚其他設備的修復時間表,可以明確的是Pixel 3和Pixel 3A設備不受影響。

Project Zero的另一名成員Tim Willis引用Android團隊成員的話寫道:“這個問題在Android上被列為高度嚴重的問題,它本身就需要安裝一個惡意應用,以便進行潛在的利用。其他任何載體,例如通過網頁瀏覽器,都需要使用附加的漏洞進行鏈接。”

谷歌代表在一封電子郵件中寫道:“Pixel 3和3A設備不容易受到這個問題的影響,而Pixel 1和Pixel 2設備將在10月份的安全發布中受到保護,該版本將在未來幾天發布。此外,已經向合作伙伴提供了一個補丁,以確保Android生態系統不受這個問題的影響。”

該漏洞最初出現在Linux內核中,在2018年初的版本4.14中打了補丁,沒有使用跟蹤CVE。這個修復被整合到Android內核的3.18、4.4和4.9版本中。由于帖子中沒有解釋原因,這些補丁從未進入Android安全更新。這就解釋了為什么早期的Pixel手機型號容易受到攻擊,而后期的Pixel卻不會。該缺陷現在被追蹤為CVE-2019-2215。

還記得NSO嗎?

Stone說,她從谷歌威脅分析小組得到的信息表明,這一漏洞“據稱被NSO使用或出售”,NSO是一家開發漏洞和間諜軟件的公司。

在這篇文章發布8小時后,NSO的代表在一封電子郵件中寫道:“NSO沒有、也永遠不會出售漏洞。這個漏洞與NSO無關,我們的工作重點是開發旨在幫助獲得許可的情報和執法機構用于拯救生命的產品。”

文章關鍵詞
Android手機
零日漏洞
手機安全
急速赛车国语 砍骑怎么赚钱 基金怎么玩 赚钱 问道多少级队伍号赚钱 计算机证书挂靠赚钱 大话五开刷职业赚钱吗 qq空间文章能赚钱吗 赚钱搞投资多少钱 梦幻西游用小66洗什么赚钱 广告推送赚钱 dnf游戏刷金币赚钱吗 昆山什么赚钱 全自动赚钱手机版 不需要到办公场地也可以赚钱的 ios 赚钱脚本 加盟万事通可以赚钱吗 迅雷赚钱宝缓存6