据外媒报道,谷歌本周发表的最新安卓安全公告中,大篇幅地针对一个名为 CVE-2020-0069 漏洞提出警告,这是一个存在于联发科芯片中的安全漏洞,可允许骇客直接取得装置的根权限,且存在于近 20 款联发科产品。
「CVE-2020-0069」可以让恶意程式不需通过 Bootloader 就能获得根权限,这个 rootkit 名为 MediaTek-SU,也就是超级用户,能获得近乎完整的功能权限,且可直接在后台执行,在用户完全没有察觉下直接控制手机,是相当严重的漏洞。
目前最受影响的是以下几款联发科产品 MT6755、MT6757、MT6758、MT6761、MT6762、MT6763、MT6765、MT6771、MT6779、MT6795、MT6797、MT6799、MT8163、MT8167、MT8173、MT8176、MT8183、MT6580、MT6595 等。包括三星、LG、华为、OPPO、vivo 等品牌都受波及。
事实上此漏洞在去年 2 月就被发现,但可能已存在多年,早被许多网络犯罪者积极利用,为此联发科才寻求与谷歌合作,希望尽快透过软体更新来解决问题。当时一位工程师在改机时找到此问题,且惊讶的发现几乎所有联发科 64 位元芯片的手机都有这个漏洞。尤其是许多使用联发科芯片的都是低阶手机,少有更新及关注,即便联发科在去年 5 月即发送给客户补丁,但大部分机种至今仍未被修复。
这个漏洞相当恶性,且预计有数百万支手机仍受影响,所以谷歌也呼吁用户尽快进行安卓更新。值得注意的是,这次的公告中来自于高通芯片的错误也多达 48 个,包括缓冲区溢出及 WLAN 硬体远程遥控漏洞等,也都是相当严重的问题,使用者应尽速更新。
对于联发科芯片存在如此严重漏洞一事,你怎么看呢?欢迎在下方留言讨论~更多最新的手机资讯,请持续关注我~
閱讀更多 科技小樂樂 的文章
