谷歌今天指出,联发科技-SU 强调了及时更新手机安全更新的极端重要性。在 年 3 月的 Android 安全公告中,谷歌详细介绍了安全漏洞 CVE--0069。这不是一个新的漏洞——事实上,它已经被广泛使用了将近一年。
根据本周XDA Developers的报道,该安全漏洞早在 2019 年 4 月就出现在开发者论坛中。这与 Google 出现的漏洞相同,为 CVE--0069,仅在 XDA 论坛中,它被称为 MediaTek-SU . 该名称指的是漏洞利用的访问权限 - 超级用户。
在 MediaTek-SU 中,在手机上执行的代码可以为用户提供 root 访问权限,而无需处理引导加载程序。通常,引导加载程序就像电话代码中的第一个上锁的门。一旦你解锁了引导加载程序,你就有可能打开第二扇门——这就是所谓的获得 root 访问权限。获得 root 访问权限后,您基本上可以自由编辑和更改您喜欢的内容。
在 Android 手机中获得 root 访问权限就像拉 C-3PO 的后面板 - 您可以根据需要制作设备。在恶意代理的情况下,此漏洞可以让他们访问任何数据、任何输入、从他们获得访问权限的点进出手机的任何内容。
这个漏洞最令人震惊的一点是它不需要有人在场来执行恶意代码。应用程序可以将此命令发送到设备,而用户甚至不知道它发生了 - 在幕后。
就联发科而言,他们相对较快地发现了该漏洞并发布了修复程序。这个软件修复修补了安全漏洞——它应该很快就结束了。但并非所有配备联发科处理器的设备制造商都花时间更新他们制造的 Android 手机。一些设备对这个漏洞仍然开放一年多!
现在看来,联发科与谷歌合作,将修复程序放入 3 月份的标准 Android 安全更新中,使其更有可能击中(并修复)所有具有联发科处理器的活动 Android 设备,否则这些设备将容易受到攻击。
如果您的设备可能配备联发科处理器,那么您当然应该尽快检查您的设备是否有 3 月安全更新。前往设置 - 系统更新,或设置 - 关于手机 - 更新,或类似的路径,无论你的手机碰巧有什么。即使您现在不确定您的 Android 设备中使用的是哪种处理器,检查以确保您尽快从 Google 获取安全更新包也无妨。