Android 10來了,卻忘掉了這個漏洞

Editor發表於2019-09-05
Android 10來了,卻忘掉了這個漏洞


經過一年多的開發與測試,昨天谷歌正式面向全球釋出Android 10的最終版本。

然而你知道嗎?

這個版本還悄悄儲存了一些漏洞。


被遺忘的漏洞


谷歌昨天釋出的Android移動作業系統包含一系列安全補丁,但似乎忘記了修復一個安全漏洞。

9月份Android的安全報告包括了對媒體框架中幾個關鍵漏洞的修復以及一系列高危性漏洞,但清單裡沒有包含該漏洞。

該漏洞存在於影片錄製的Video For Linux 2(V4L2)驅動程式中。

問題在於在執行操作之前沒有驗證物件是否存在,導致攻擊者可以利用它升級核心許可權,從而允許攻擊者訪問系統上的關鍵檔案。


核心是具有最高許可權的作業系統的一部分,惡意應用程式可以使用此級別的許可權執行程式碼,這可能導致系統的完全受損。


由於想要利用這個漏洞需要攻擊者能夠進行復雜的高階攻擊,這使得它對大多數駭客沒有太大吸引力,但仍然有攻擊者不會放過這個機會,只要這個漏洞持續存在,駭客就能夠進行攻擊並完全接管目標系統。

Android 10來了,卻忘掉了這個漏洞

攻擊者為了利用這一點,已經破壞了裝置,但由於許可權不足而限制了操作。

這一漏洞的發現應當歸功於TrendMicro Research的Lance Jiang和Moony Li,他們透過“零日倡議”(ZDI)專案報告了這一漏洞,卻在這次新版本中被忽略了。
由於目前谷歌並沒有提供修補程式,那麼減輕這種風險的重任就落在使用者的肩上,使用者應該小心他們在安卓裝置上安裝的應用程式。在下載應用程式時,直接從Google Play下載已知的沒有問題的應用程式,避免從第三方下載。

Android現在更安全


雖然這個漏洞忘記修復了,但Android總體來說還是相對安全的系統。此外,也有不少安全研究員指出Android是一個比iOS安全得多的平臺。

就在本週,漏洞交易商Zerodium提高了對Android zero-day收購價格,提供250萬美元用於實現Android永續性的全鏈開發和利用。這比Apple的iOS系統高出25%。

Android在零日價值上超越iPhone是一個新的轉折點。這表明Android零日的需求已經顯著增加,換句話說就是在某種程度上Android作業系統越來越難以遠端攻擊。

隨著每個新版本的釋出,Android的安全性一直都在提高,而iOS漏洞的數量在過去幾個月裡一直呈上升趨勢。


*本文由看雪編輯LYA編譯自 Bleeping Computer,轉載請註明來源及作者。

相關文章