联发科晶片爆漏洞!涉及数款Android设备 三星、华为都中招
▲Google 3 月的 Android 资安报告揭露联发科晶片漏洞。(图/取自免费图库Pixabay)
Google昨(3)日照惯例发布了 3 月的 Android 资安报告,其中一项关键安全漏洞「CVE-2020-0069」的 CVSS 指标高达 9.3/10,并涉及搭载联发科晶片的数款设备。
科技网站《XDA》指出,虽然「CVE-2020-0069」是在 3 月的 Android 资安报告中首度披露,但事实上,自 2019年 4 月,其细节已在 XDA 论坛上公开。尽管联发科当时已在一个月内向采用其处理器的 OEM 厂商提供补丁,但目前仍有数十家厂商未因此发布更新。更糟糕的是,目前该漏洞正被骇客积极利用,为此,联发科才转向求助于 Google,希望透过 Google 政策及 Android 更新来解决问题。
苹果工程师吴泓霖昨日在脸书贴文描述整起事件,去年 2 月 XDA 论坛上一名为「diplomatic」的网友为改机 Amazon Fire 平板电脑(搭载联发科晶片)时发现了该漏洞,「不久后他便发现,这个漏洞竟然几乎在「所有」使用联发科 64 位元晶片的手机都存在(包含 2015 的型号)!」。
据吴泓霖说法,该漏洞「可以让 userspace 的程式直接对 kernel memory 存取/写入。基本上就等于随便一个恶意程式都能『完全』操控整个系统,窃取任意使用者资料什么的都是小 case!」
吴泓霖表示,使用联发科晶片的手机大都是中低阶机型,「这些手机通常因为利润过低,提供售后系统维护不仅不敷成本,购买的用户大多根本也不会在意,所以基本上手机买来的当天就是所谓『孤儿机』,不怎么会收到系统更新。」因此,即便联发科已在去年 5 月知晓漏洞并向其客户发送修正补丁,目前市面上所有使用联发科 64 位元晶片的机型仍未获修复。
以下为《XDA》列出较容易受到攻击的联发科处理器:MT6735、MT6737、MT6738、MT6739、MT6750、MT6753、MT6755、MT6757、MT6758、MT6761、MT6762 、MT6763、MT6765、MT6771、MT6779、MT6795、MT6797、MT6799、MT8163、MT8167、MT8173、MT8176、MT8183、MT6580 和 MT6595。
从品牌来看,「中招」的机款可能包括宏碁、华为、联想、LG、Sony及中兴等数十款较便宜的设备,XDA论坛上也有网友列出已确认的设备列表,用户可查看自己的平板或手机是否在列表内。吴泓霖指出,智慧型手机已经成为人们生活极重要的一部分,「这个事件警惕我们,有系统更新是幸福的,收到通知后最好尽快升级!还有,如果经济许可的话,千万不要贪小便宜去买廉价手机!」