高危险Android漏洞被发现 三星华为手机都中箭

Android 系统的零日漏洞被发现，至少 18 款的安卓手机恐被骇客完全控制。(达志影像／shutterstock提供)

Google 旗下的资安团队 Project Zero 日前公布一项资讯，指出有恶意人士透过 Android 系统中的零日漏洞发动攻击。这些漏洞被认为是高危险的漏洞，可能能让骇客完全控制至少 18 款 Android 手机，其中更包含 4 款 Pixel 手机，Android 手机使用者需要多加留意。

零日漏洞或零时差漏洞(Zero-day exploit、 zero-day、0-day)在电脑领域中是指，还没有修补程式的安全漏洞，而零日攻击或零时差攻击（英语：Zero-day attack）则是指利用这种漏洞进行的攻击。近日 Google Project Zero 团队所发现的 Android 系统漏洞，就属于此类。据了解，骇客能透过两种方式来利用这个漏洞。第一，趁着目标手机下载不受信任的应用程式(App)时；第二，把这个漏洞跟 Chrome 浏览器的一个漏洞一起利用，来发动线上攻击。Project Zero 团队认为，这个漏洞属于高严重性(high severity)的漏洞。

Project Zero 团队成员 Maddie Stone 指出，他们发现证据认为上述发现的漏洞有被 NSO 集团(以色列骇客集团)或是他们的顾客所利用，但是已经被 NSO 集团否认。

Maddie Stone 指出，被发现的漏洞能够在本地提升控制权限，能对容易受到攻击的设备取得完全的控制权。受到影响的机种包含：Pixel 1、Pixel 1 XL、Pixel 2、Pixel 2 XL(Pixel 2 系列包含已经升级 Android 9、Android 10 Preview 版本的都仍受影响)、华为 P20、红米5A、红米Note 5、小米A1、三星 Galaxy S7、三星Galaxy S8、三星Galaxy S9、OPPO A3、Moto Z3，以及LG旗下搭载Android Oreo系统的手机。

针对这项漏洞，Google 指出将会在每月固定更新的 10 月份 Android 安全更新程式中获得修补，未来几日之内就会释出。而 Pixel 3、Pixel 3a 系列不受上述漏洞的影响。

而在 Google 尚未释出针对上述漏洞的安全修补程式之前，请 Android 手机用户避免从非 Google Play Store 的管道下载应用程式；上网时也不要点取不明来源的网址，以降低受到攻击的可能性。此外，当然可以安装受信赖的防毒软体或程式，来进一步保护你的手机。