高危險Android漏洞被發現 三星華爲手機都中箭
Android 系統的零日漏洞被發現,至少 18 款的安卓手機恐被駭客完全控制。(達志影像/shutterstock提供)
Google 旗下的資安團隊 Project Zero 日前公佈一項資訊,指出有惡意人士透過 Android 系統中的零日漏洞發動攻擊。這些漏洞被認爲是高危險的漏洞,可能能讓駭客完全控制至少 18 款 Android 手機,其中更包含 4 款 Pixel 手機,Android 手機使用者需要多加留意。
零日漏洞或零時差漏洞(Zero-day exploit、 zero-day、0-day)在電腦領域中是指,還沒有修補程式的安全漏洞,而零日攻擊或零時差攻擊(英語:Zero-day attack)則是指利用這種漏洞進行的攻擊。近日 Google Project Zero 團隊所發現的 Android 系統漏洞,就屬於此類。據瞭解,駭客能透過兩種方式來利用這個漏洞。第一,趁着目標手機下載不受信任的應用程式(App)時;第二,把這個漏洞跟 Chrome 瀏覽器的一個漏洞一起利用,來發動線上攻擊。Project Zero 團隊認爲,這個漏洞屬於高嚴重性(high severity)的漏洞。
Project Zero 團隊成員 Maddie Stone 指出,他們發現證據認爲上述發現的漏洞有被 NSO 集團(以色列駭客集團)或是他們的顧客所利用,但是已經被 NSO 集團否認。
Maddie Stone 指出,被發現的漏洞能夠在本地提升控制權限,能對容易受到攻擊的設備取得完全的控制權。受到影響的機種包含:Pixel 1、Pixel 1 XL、Pixel 2、Pixel 2 XL(Pixel 2 系列包含已經升級 Android 9、Android 10 Preview 版本的都仍受影響)、華爲 P20、紅米5A、紅米Note 5、小米A1、三星 Galaxy S7、三星Galaxy S8、三星Galaxy S9、OPPO A3、Moto Z3,以及LG旗下搭載Android Oreo系統的手機。
針對這項漏洞,Google 指出將會在每月固定更新的 10 月份 Android 安全更新程式中獲得修補,未來幾日之內就會釋出。而 Pixel 3、Pixel 3a 系列不受上述漏洞的影響。
而在 Google 尚未釋出針對上述漏洞的安全修補程式之前,請 Android 手機用戶避免從非 Google Play Store 的管道下載應用程式;上網時也不要點取不明來源的網址,以降低受到攻擊的可能性。此外,當然可以安裝受信賴的防毒軟體或程式,來進一步保護你的手機。