设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 业界资讯 开源资讯 Google 查看内容

Android 0day漏洞影响Google、小米和华为等品牌手机

2019-10-7 15:46| 发布者: joejoe0332| 查看: 274| 评论: 0|原作者: oschina|来自: oschina

摘要: Google 安全团队 Project Zero 的研究人员近日披露了一个活跃的 Android 漏洞,该漏洞影响了一些受欢迎的设备,其中包括 Pixel 2, 华为 P20 Pro 和红米 Note 5 等。Project Zero 发表的帖子显示该漏洞是在上周被发现 ...

Google 安全团队 Project Zero 的研究人员近日披露了一个活跃的 Android 漏洞,该漏洞影响了一些受欢迎的设备,其中包括 Pixel 2, 华为 P20 Pro 和红米 Note 5 等。

Project Zero 发表的帖子显示该漏洞是在上周被发现的,当时攻击者正在利用它完全控制 Android 设备。帖子还指出,要利用此漏洞无需或只需最小自定义的 Root 权限即可。

团队还列出了一些受影响的运行 Android 8.x 或更高版本的设备:

  • 搭载 Android 9 或 Android 10 preview 的 Pixel 1, 1 XL, 2 和 2 XL(Pixel 3 和 3a 设备不受攻击)
  • 华为 P20
  • 红米 5A
  • 红米 Note 5
  • 小米 A1
  • Oppo A3
  • Moto Z3
  • Oreo LG 手机
  • 三星 Galaxy S7, S8, S9
  • ……

对此,Google 表示即将发布的 Android 10 月安全更新将修复该漏洞,并已通知 Android 合作伙伴推送更新,安全补丁可在 Android Common Kernel 上获取。

据了解,该漏洞早已在 Android 内核的早期版本(3.18, 4.4 和 4.9)中被修复,但现在却再次出现了。事实上该漏洞最早源于 Linux 内核,早在 2018 年初就被发现并修复,但出于未解释的原因,补丁没有整合进 Android 的安全更新。

安全研究人员介绍,攻击者无法使用远程代码执行(RCE)来利用此漏洞。但是,如果我们从不受信任的来源安装应用程序,则攻击者可以通过这个过程来利用漏洞。如果攻击者将其与 Chrome 浏览器中的漏洞进行配对以渲染内容,则他也可以通过此来利用该漏洞。

为此,他们建议用户不要从非可信来源安装应用程序,并最好使用其他浏览器,例如 Firefox 或 Brave,直到问题解决为止。

另外,安全研究人员还推测该漏洞已被以色列公司 NSO 使用,该组织是一个基于 Isreal 的组织,它向政府出售工具以利用 iOS 和 Android。而 NSO 的代表则否认了这一说法。


酷毙

雷人

鲜花

鸡蛋

漂亮
  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187  

返回顶部