谷歌Project Zero團隊警告Pixel、Pixel 2、Galaxy S9、華為P20和其他數百萬安卓手機使用者,新的“零日漏洞”(zero-day vulnerability)可能會讓駭客完全控制你的手機。更糟糕的是,有證據表明,它正在被駭客積極地利用。
Ars Technica首先發現了這個問題,並在2017年12月的安全更新中首次對其進行了修補,但“基於原始碼審查,有幾款手機仍然存在漏洞”。
受影響的手機型號包括但不限於:
Pixel 1
Pixel 1 XL
Pixel 2
Pixel 2 XL
華為P20
小米紅米5A
小米紅米Note 5
小米A1
Oppo A3
摩托羅拉Z3
三星S7
三星S8
三星S9
LG 執行Android 8 Oreo的手機
根據谷歌的說法,這個漏洞“幾乎不需要對每個裝置進行定製”,但確實需要在“Chrome沙箱”中安裝“惡意應用程式”,或者透過不可信的應用商店或原始碼安裝。這意味著它不能遠端執行,所以只要保持警惕就可以保持安全。
研究人員Maddie Stone解釋道,“該漏洞是一個本地特權升級漏洞,它可以對易受攻擊的裝置進行全面攻擊。”他還表示:“如果此漏洞是透過Web傳遞的,則只需與呈現程式漏洞配對,因為此漏洞可透過沙盒訪問。”
在一份宣告中,谷歌保證很快會有一個修復:“Pixel 1和2裝置將在10月的安全釋出中得到保護,將在未來幾天釋出。此外,一個補丁已經提供給合作伙伴,以確保安卓生態系統不受這個問題的影響。“Pixel 3和3a不受攻擊影響。”
雖然這個漏洞影響你手機的可能性仍然很小,但還是在10月份安全更新到來之前遠離不可信的應用程式。
