4漏洞可讓駭客接管Android裝置　Google緊急修補

Google本周稍早警告4項可允許執行惡意程式碼而接管裝置的Android漏洞，遭到一群不知名的駭客正在開採。

這批漏洞是由Google Project Zero研究人員Maddie Stone揭露。其中二項位於高通Snapdragon處理器，包括CVE-2021-1905、CVE-2021-1906，前者屬於記憶體緩衝溢位漏洞，可讓攻擊者以完整根權限執行惡意程式碼，風險等級7.8，後者則為風險5.5的一項邏輯漏洞，可導致GPU記憶體分配錯誤。串聯二項漏洞可使攻擊者繞過安全防護執行程式碼。

另二項漏洞則位於ARM Mali GPU的記憶體緩衝溢位漏洞，包括CVE-2021-28663、CVE-2021-28664，可讓攻擊者取得Android根權限。

這些漏洞全部都包含在五月Android安全公告。五月份的安全公告一共修補了40多項漏洞，當時並未特別明講，不過本周Stone宣佈，這4項漏洞已在沒修補前，遭到有限度但精準的開採，也成為Google今年最新的4個零時差漏洞。

安全廠商Zimperium策略專案副總裁Asaf Peleg也說明，成功開採這二項漏洞可使攻擊者取得受害者行動終端的完整控制權，因漏洞可提升帳號的預設權限，進而在現有行程的沙箱外部執行程式碼，讓Android帳號完全被攻陷，所有資料都在曝露風險中。

至於攻擊活動內容Google不願說明。開採這些漏洞需要相當能力，研究人員相信，攻擊者可能是國家支持的駭客的傑作。

Google已對硬體廠商釋出安全更新，後者將負責將更新版本釋出給用戶。Google也建議用戶儘速升級最新版本Android以確保安全。

來源：Ars Technica