4漏洞可讓駭客接管Android裝置 Google緊急修補
Google本周稍早警告4項可允許執行惡意程式碼而接管裝置的Android漏洞,遭到一群不知名的駭客正在開採。
這批漏洞是由Google Project Zero研究人員Maddie Stone揭露。其中二項位於高通Snapdragon處理器,包括CVE-2021-1905、CVE-2021-1906,前者屬於記憶體緩衝溢位漏洞,可讓攻擊者以完整根權限執行惡意程式碼,風險等級7.8,後者則為風險5.5的一項邏輯漏洞,可導致GPU記憶體分配錯誤。串聯二項漏洞可使攻擊者繞過安全防護執行程式碼。
另二項漏洞則位於ARM Mali GPU的記憶體緩衝溢位漏洞,包括CVE-2021-28663、CVE-2021-28664,可讓攻擊者取得Android根權限。
這些漏洞全部都包含在五月Android安全公告。五月份的安全公告一共修補了40多項漏洞,當時並未特別明講,不過本周Stone宣佈,這4項漏洞已在沒修補前,遭到有限度但精準的開採,也成為Google今年最新的4個零時差漏洞。
安全廠商Zimperium策略專案副總裁Asaf Peleg也說明,成功開採這二項漏洞可使攻擊者取得受害者行動終端的完整控制權,因漏洞可提升帳號的預設權限,進而在現有行程的沙箱外部執行程式碼,讓Android帳號完全被攻陷,所有資料都在曝露風險中。
至於攻擊活動內容Google不願說明。開採這些漏洞需要相當能力,研究人員相信,攻擊者可能是國家支持的駭客的傑作。
Google已對硬體廠商釋出安全更新,後者將負責將更新版本釋出給用戶。Google也建議用戶儘速升級最新版本Android以確保安全。
來源:Ars Technica