谷歌警告：高危漏洞 华为小米可能被黑客完全控制

谷歌警告：高危漏洞 华为小米可能被黑客完全控制

　　该漏洞可以使攻击者完全控制至少18种不同型号的手机，包括华为(专题)、三星、小米等设备，连谷歌自家的Pixel系列手机也在劫难逃。

　　新智元报道

　　来源:arstechnica

　　编辑：张佳

　　【新智元导读】

　　谷歌警告：攻击者正在利用Android移动操作系统中的“零日漏洞”进行攻击，该漏洞可以使攻击者完全控制至少18种不同型号的手机，包括华为、三星、小米等设备，连谷歌自家的Pixel系列手机也在劫难逃。

　　谷歌“零号项目”（Project Zero）研究小组的成员在当地时间周四晚间说，攻击者正在利用谷歌的Android移动操作系统中的“零日漏洞”（zero-day vulnerability）进行攻击，该漏洞可以使他们完全控制至少18种不同型号的手机

　　，连谷歌自家的Pixel系列手机也在劫难逃。

　　“零号项目”成员Maddie Stone 在帖子中说：有证据表明，该漏洞正在被以色列(专题)间谍软件交易商NSO集团或其客户之一积极利用。但是，NSO代表表示，“漏洞与NSO无关。”

　　该漏洞只需要很少或根本不需要定制即可完全获得被攻击手机的root权限。

　　此漏洞可通过两种方式进行攻击：

　　当目标安装不受信任的应用程序时

　　通过将此漏洞与针对chrome浏览器用于呈现内容的代码中的漏洞的第二次攻击结合使用，来进行在线攻击。

　　“该漏洞是一个本地特权升级漏洞，它可以对易受攻击的设备进行全面攻击。” Stone 写道：“如果此漏洞是通过Web传递的，则只需与呈现程序漏洞配对，因为此漏洞可通过沙盒访问。”

　　受影响的手机型号包括但不限于：

　　Pixel 1、Pixel 1 XL、Pixel 2、Pixel 2 XL

　　华为P20

　　小米红米5A、小米红米Note 5、小米A1

　　Oppo A3

　　摩托罗拉Z3

　　Oreo LG

　　三星S7、三星S8、三星S9

　　这次漏洞有多严重？

　　谷歌Android团队的一位成员表示，无论如何，该漏洞都将在十月份的Android安全更新中（至少在Pixel设备中）进行修补，该更新可能会在未来几天内发布。其他设备的补丁时间目前尚不清楚。Pixel 3和Pixel 3a设备不受影响。

　　“此问题在Android设备上非常严重，它本身需要安装恶意应用程序以进行潜在攻击，”另一位“零号项目”成员Tim Willis援引Android团队成员的话写道。“任何其他媒介，例如通过网络浏览器，都需要使用额外的漏洞进行链接。”

　　Google代表在一封电子邮件中写道：“ Pixel 3和3a设备不容易受到此问题的影响，Pixel 1和2设备将受到十月安全版本的保护，该版本将在未来几天内交付。此外，已经为合作伙伴提供了一个补丁，以确保保护Android生态系统不受此问题的影响。”

　　use-after-free 漏洞最初出现在Linux内核中，并于2018年初在4.14版中进行了修补。这个修复被合并到Android内核的3.18、4.4和4.9版本中。由于帖子中未解释的原因，这些补丁从未进入Android安全更新。这就可以解释为什么早期的Pixel机型容易受到攻击，而后来的机型却没有受到攻击。该漏洞现在被跟踪为CVE-2019-2215。

　　NSO到底是做什么的？

　　斯通说，从谷歌威胁分析小组获得的信息表明，该漏洞“被NSO集团使用或出售”，NSO集团是一家开发漏洞和间谍软件的公司，它与各个政府实体进行交易。

　　NSO代表在该帖子发布八小时后发送的一封电子邮件中写道：

　　“ NSO不会出售，也绝不会出售漏洞利用程序或漏洞。此漏洞与NSO无关。我们的工作重点是开发旨在帮助获得许可的情报和执法机构挽救生命的产品。”

　　总部位于以色列的NSO在2016年和2017年发现了一款名为Pegasus的先进移动间谍软件，引起了广泛关注。

　　它可以越狱或获得iOS和Android设备的root权限，这样就可以在私人信息中搜索，激活麦克风和摄像头，并收集各种其他敏感信息。来自多伦多大学公民实验室的研究人员确定，iOS版本的Pegasus针对的是阿拉伯联合酋长国的政治异见人士。

　　今年早些时候，Citizen Lab发现了证据，揭露了NSO 针对WhatsApp Messenger开发的高级漏洞，通过该漏洞还在易受攻击的手机上安装了间谍软件，而终端用户无需做任何操作。一项针对Citizen Lab研究人员的秘密调查也将重点放在了NSO上。

　　“作为NSO的客户，我担心NSO的名声引起了安全团队和研究人员的严格审查，这可能导致我最敏感的间谍活动遭到破坏并暴露出来，” Citizen Lab高级研究员John Scott-Railton告诉Ars。

　　“零号项目”允许开发者在发布漏洞报告前发布90天的补丁，但漏洞被积极利用情况除外。在这种情况下，Android漏洞是在私下向Android团队报告的7天后发布的。

　　尽管周四报告的漏洞很严重，但易受攻击的Android用户不应惊慌。被“零号项目”描述的那样昂贵和针对性的攻击所利用的机会非常渺茫。

　　在此提醒大家，在补丁未安装前，最好不要安装不必要的应用程序，也不要使用非Chrome浏览器。