[寻云网(微信号:)10月5日报道(编译:商州)
谷歌零项目研究小组的一名成员周四晚上表示,攻击者正在利用谷歌安卓移动操作系统中的零日漏洞,该漏洞可以让他们完全控制至少18种不同的手机型号,包括4种不同的像素型号。
零项目研究小组成员Maddie stone在一篇文章中说,有证据表明漏洞利用者nso集团或其客户之一正在积极利用该漏洞。同时,国家统计局的代表说:“这次袭击与国家统计局无关。”此漏洞需要很少或不需要定制来完全渗透到易受攻击的移动电话类型中。可以通过两种方式利用此漏洞:当目标安装不受信任的应用程序或进行在线攻击时,此漏洞与用于为chrome浏览器呈现内容的代码中的漏洞相结合。
斯通写道:“这个漏洞是一个本地特权升级漏洞,可以全面攻击那些易受攻击的设备。如果此漏洞是通过网络发布的,它只需要与渲染器漏洞配对,因为此漏洞可以通过沙箱访问。
易受攻击手机的“非穷尽列表”包括:
Pixe1、pixel 1 xl、pixel 2、pixel 2 xl、华为p20、小米m5a、小米mNote 5、小米la1、oppo a3、moto z3、orelgphones、三星s7、三星s8和三星s9。
谷歌安卓团队的一名成员在同一个项目zero中表示,无论如何,该漏洞将在10月份安卓安全更新中被修复到像素手机上。目前,还不清楚其他设备的维修时间表。很明显,像素3和像素3a设备不会受到影响。
零点项目的另一名成员蒂姆·威利斯(Tim willis)引用安卓团队的一名成员的话说:“这个问题在安卓系统上被列为一个非常严重的问题。它需要安装一个恶意的应用程序来充分利用它。任何其他载体,例如通过网络浏览器,都需要使用额外的漏洞进行链接。”
谷歌代表在一封电子邮件中写道:“像素3和3a设备不容易受到这个问题的影响,而像素1和像素2设备将在10月的安全版本中受到保护,该版本将在未来几天发布。此外,我们还向合作伙伴提供了一个补丁,以确保安卓生态系统不受此问题的影响。
该漏洞首次出现在linux内核中,并于2018年初在版本4.14中修补,但没有跟踪cve。这个补丁被集成到android内核版本3.18、4.4和4.9中。因为帖子中没有解释,这些补丁从未进入安卓安全更新。这解释了为什么早期的像素手机型号容易受到攻击,而后期的像素手机型号则不会。缺陷现在被追踪为cve-2019-2215。
斯通说,她从谷歌威胁分析团队收到的信息显示,该漏洞“据称被开发漏洞和间谍软件的国家统计局使用或出售”。
文章发表八小时后,国家统计局代表在电子邮件中写道:“国家统计局没有也永远不会出售漏洞。这个漏洞与国家统计局无关。我们的重点是开发旨在帮助获得许可的情报和执法机构拯救生命的产品。”
以色列国家统计局在2016年和2017年发布了一款名为飞马座的先进移动间谍软件,引起了广泛关注。它可以被破解或植根于ios和android手机,因此该软件可以搜索私人信息,激活麦克风和摄像头,并收集各种敏感信息。
零项目给开发人员90天时间来发布补丁,然后再发布漏洞报告。当然,如果有主动攻击,那是不可避免的。这起案件中的安卓漏洞是在秘密向安卓团队报告后七天被揭露的。
尽管周四报道的漏洞很严重,但脆弱的安卓用户不需要恐慌。正如“零计划”所描述的那样,代价高昂且有针对性的攻击被利用的可能性很小。同样,推迟安装不必要的应用程序并在安装补丁之前使用无铬浏览器也是有意义的。
