谷歌今天指出,联发科-苏强调了保持手机最新安全更新的极端重要性。谷歌在2020年3月的Android安全公告中详细介绍了安全漏洞CVE-2020-0069。这不是一个新的漏洞——事实上,它已经存在了近一年。
根据本周关于XDA开发者的报告,这一安全漏洞最早出现在2019年4月的开发者论坛上。与Google的漏洞-2020-0069相同,在论坛只称为联发科-苏。该名称是指利用程序的访问权限-超级用户。
在联发科-苏中,在手机上执行的代码可以给用户root访问权限,而不必处理引导程序。通常,bootloader就像是电话代码中第一个被锁上的门。解锁boot loader后,可以打开第二扇门,这称为获得root访问权限。有了root权限,基本上就可以自由编辑更改所需内容了。
在Android手机中获得root权限就像打开C-3PO的后面板——你可以随心所欲地制造设备。对于恶意代理,该漏洞允许他们访问任何数据、任何输入,而不管从他们获得访问权的那一刻起呼入或呼出的任何内容。
这种利用最令人震惊的是,它不需要任何人执行恶意代码。应用程序可以在后台向设备发送命令,甚至用户都不知道。
就联发科而言,他们很快发现了漏洞,并发布了修复。该软件修复程序修复了安全漏洞,应该很快就会结束。但并非所有使用联发科处理器的设备制造商都会花时间更新他们的Android手机。一年多了,有些设备还是对这种漏洞开放!
现在,联发科似乎已经与谷歌合作,在3月份将热修复程序放入标准的Android安全更新中,这使其有更好的机会击中(并修复)所有使用联发科处理器的活跃Android设备,否则这些设备将受到攻击。
如果你的设备可能配备了联发科处理器,那么你一定要尽快检查设备的3月安全更新。无论你的手机碰巧有什么,你都可以进入设置-系统更新,或设置-关于手机-更新,或类似的路径。即使你不确定你的Android设备现在使用的是哪种处理器,检查一下以确保尽快从谷歌获得安全更新包也没有坏处。