Google 指 Google 和其他 Android 廠商都未有修復已知的安全漏洞

A 3D printed Android logo is pictured on a keyboard in front of binary code in this illustration taken September 24, 2021. REUTERS/Dado Ruvic/Illustration - RC2ZVP97FLMF
A 3D printed Android logo is pictured on a keyboard in front of binary code in this illustration taken September 24, 2021. REUTERS/Dado Ruvic/Illustration - RC2ZVP97FLMF

Google 的 Project Zero 團隊發報告顯示使用 Mali GPU 和 Exynos SoC 晶片的手機裡,藏有數個安全性漏洞,而且雖然負責晶片設計的 ARM 已經獲通知後,於 7 月底至 8 月期間釋出補丁,但截至報告釋出的本週初,部分手機廠商還是沒有跟進。受影響的廠商涉及 Samsung、小米、Oppo 和 Google 的手機。

團隊是在 6 月和 7 月發現總數 5 個的漏洞,並馬上通報 ARM 方面處理。Project Zero 的 Ian Beer 在部落格文章中解釋指其中一個漏洞會導致內核記憶體崩潰,另外一個就會使得實體記憶體會曝露到 userspace,最後三個就是讓實體頁面出現記憶體不正當使用的 UAF 狀況。這些漏洞都會讓駭客有機會獲得系統的全面授權,再進行其他的攻擊。

Project Zero 團隊強調他們在得悉 ARM 釋出補丁三個月後,都仍能在測試裝置中發現到上述的漏洞,而且也沒有看到任何一家 Android 廠商有在安全性公告中提及,因此才公開發現。Samsung、小米、Oppo 和 Google 都沒有回應事件,但 SamMobile 有指出 Galaxy S22 系列和旗下使用 Snapdragon 晶片的機型是不在影響範圍中。