谷歌(GOOG.US)已修補(bǔ)影響Android設(shè)備的嚴(yán)重安全漏洞

智通財經(jīng)APP獲悉，XDA開發(fā)人員今日(3月4日)透露，谷歌(GOOG.US)已修補(bǔ)了一個嚴(yán)重的安全漏洞，該漏洞通過聯(lián)發(fā)科(MediaTek)的芯片組影響了數(shù)以萬計的Android設(shè)備。

該漏洞是CPU固件中的rootkit。XDA表示，它可用一個簡單的腳本獲取幾乎所有使用聯(lián)發(fā)科64位芯片的安卓設(shè)備的超級用戶權(quán)限。它已經(jīng)損害了數(shù)百種低、中端智能手機(jī)、平板電腦和機(jī)頂盒。

谷歌在3月份的安卓安全公告中提到了這個補(bǔ)丁(CVE-2020-0069)。雖然這是第一次公開披露，但有關(guān)該漏洞利用程序的詳細(xì)信息已經(jīng)在線發(fā)布了幾個月。該漏洞仍然可以在許多設(shè)備型號上使用，且許多黑客正在積極使用它。更糟糕的是，許多設(shè)備根本無法獲得補(bǔ)丁。

而使用此漏洞的黑客可以通過多種方式造成損害。例如，他們可以在對方設(shè)備上安裝任何應(yīng)用程序，然后向其授予入侵設(shè)備所需的任何權(quán)限。如果使用不當(dāng)，root用戶訪問權(quán)可能會啟用勒索軟件，并可能使整個設(shè)備無法使用。

自2019年5月以來，聯(lián)發(fā)科已提供修補(bǔ)程序來修復(fù)此漏洞，但該公司無法強(qiáng)制原始設(shè)備制造商修復(fù)其設(shè)備。不過，XDA解釋說，谷歌可以通過許可協(xié)議和程序條款迫使許多原始設(shè)備制造商這樣做。盡管如此，根據(jù)XDA的說法，谷歌在采取行動前幾個月就知道了這個漏洞。考慮到這一缺陷的廣泛性和危險性，這令人非常不安。