4 漏洞可讓駭客接管 Android 裝置　Google 緊急修補

Google 本周稍早警告 4 項可允許執行惡意程式碼而接管裝置的 Android 漏洞，遭到一群不知名的駭客正在開採。

這批漏洞是由 Google Project Zero 研究人員 Maddie Stone 揭露。其中二項位於高通 Snapdragon 處理器，包括 CVE-2021-1905、CVE-2021-1906，前者屬於記憶體緩衝溢位漏洞，可讓攻擊者以完整根權限執行惡意程式碼，風險等級 7.8，後者則為風險 5.5 的一項邏輯漏洞，可導致 GPU 記憶體分配錯誤。串聯二項漏洞可使攻擊者繞過安全防護執行程式碼。

另二項漏洞則位於 ARM Mali GPU 的記憶體緩衝溢位漏洞，包括 CVE-2021-28663、CVE-2021-28664，可讓攻擊者取得 Android 根權限。

這些漏洞全部都包含在五月 Android 安全公告。五月份的安全公告一共修補了 40 多項漏洞，當時並未特別明講，不過本周 Stone 宣佈，這 4 項漏洞已在沒修補前，遭到有限度但精準的開採，也成為 Google 今年最新的 4 個零時差漏洞。

安全廠商 Zimperium 策略專案副總裁 Asaf Peleg 也說明，成功開採這二項漏洞可使攻擊者取得受害者行動終端的完整控制權，因漏洞可提升帳號的預設權限，進而在現有行程的沙箱外部執行程式碼，讓 Android 帳號完全被攻陷，所有資料都在曝露風險中。

至於攻擊活動內容 Google 不願說明。開採這些漏洞需要相當能力，研究人員相信，攻擊者可能是國家支持的駭客的傑作。

Google 已對硬體廠商釋出安全更新，後者將負責將更新版本釋出給用戶。Google 也建議用戶儘速升級最新版本 Android 以確保安全。

來源：Ars Technica