當前位置:首頁 > 安全 >

谷歌公布安卓高危漏洞 黑客可完全利用至少18款手机

公布时间:2019-10-08 15:05:47 來源:新浪科技 作者:佚名
[摘要]10月5日晚间消息,据国外媒体报道,谷歌 Project Zero 研究小组的一名成员日前体现,攻击者正在利用谷歌Android移动操作系统中的 零日漏洞
10月5日晚间消息,据国外媒体报道,谷歌“Project Zero”研究小组的一名成员日前体现,攻击者正在利用谷歌Android移动操作系统中的“零日漏洞”进行攻击,该漏洞可以让他们完全利用至少18种差异型号的手机,包罗四个型号的Pixel手机。

“Project Zero”研究小组成员麦迪·斯通(Maddie Stone)在一篇文章中称,有证据表明该漏洞正被利用,不是被NSO集团利用,就是它的一个客户。对此,NSO集团已给予否认,称“该漏洞被利用与NSO无关”。

據悉,要利用該漏洞,只需很少或者根本無需對手機進行自定義。確切而言,可以通過兩種方式利用該漏洞:1)當目標手機安裝一個不受信任的應用程序時;2)將該漏洞與Chrome浏覽器的一個漏洞相結合,從而發動在線攻擊。

斯通稱:“該漏洞屬于一個当地權限提升漏洞,允許對易受攻擊的設備進行完全利用。”受該漏洞影響的手機至少包罗下列型號産品:

Pixel 1

Pixel 1 XL

Pixel 2

Pixel 2 XL

華爲P20

小米紅米5A

小米红米Note 5

小米A1

Oppo A3

Moto Z3

Oreo LG phones

三星S7

三星S8

三星S9

对此,谷歌Android团队的一名成员体现,该漏洞将在10月份的Android安全更新中得到修补,该更新可能会在未来几天内公布。另外,谷歌Pixel 3和Pixel 3a机型不受影响。

“Project Zero”团队另一名成员蒂姆·威利斯(Tim Willis)引用Android团队成员的话称:“这是一个‘高危漏洞’(high severity)。”

谷歌代表在一封电子邮件中写道:“Pixel 3和3a设备不容易受到这个问题的影响,而Pixel 1和Pixel 2设备很快将受到10月份安全更新的掩护,该更新将在未来几天内公布。”

據斯通稱,她從谷歌“威脅分析小組”收到的信息表明,該漏洞“據稱被NSO集團使用或出售”,該集團是一家向各種政府實體出售漏洞和間諜軟件的開發商。

但總部位于以色列的NSO集團代表隨後体现:“NSO沒有出售,也永遠不會出售安全漏洞。該漏洞的利用與NSO無關,我們的工作重點是,開發那些旨在幫助授權情報和執法機構挽救生命的産品。”(李明)

【返回首頁】