Google 本周發表的最新 Android 安全公告中披露了名為 CVE-2020-0069 漏洞,這是聯發科晶片的安全漏洞,可允許駭客直接對 kernel memory 存取/寫入,而且這個漏洞幾乎在所有採用聯發科64位元晶片手機中存在,雖然聯發科已經在去年發送了安全更新,但預期目前仍有數百萬台手機目前仍受影響。
👉 歡迎加入T客邦telegram ( https://t.me/TechbangNEWS )
CVE-2020-0069這個漏洞,可以不需要 Bootloader 就能獲得系統的根權限,且可直接在後台執行,在用戶完全沒有察覺下控制手機。
根據XDA論壇,帶有這個被稱為 MediaTek-su 的手機,在包括Acer、Huawei、Lenovo、LG、Sony、ZTE等品牌的中低階手機都有採用,完整列表如下:
- Acer Iconia One 10 B3-A30
- Acer Iconia One 10 B3-A40
- Alba tablet series
- Alcatel 1 5033 series
- Alcatel 1C
- Alcatel 3L (2018) 5034 series
- Alcatel 3T 8
- Alcatel A5 LED 5085 series
- Alcatel A30 5049 series
- Alcatel Idol 5
- Alcatel/TCL A1 A501DL
- Alcatel/TCL LX A502DL
- Alcatel Tetra 5041C
- Amazon Fire 7 2019 -- up to Fire OS 6.3.1.2 build 0002517050244 only
- Amazon Fire HD 8 2016 -- up to Fire OS 5.3.6.4 build 626533320 only
- Amazon Fire HD 8 2017 -- up to Fire OS 5.6.4.0 build 636558520 only
- Amazon Fire HD 8 2018 -- up to Fire OS 6.3.0.1 only
- Amazon Fire HD 10 2017 -- up to Fire OS 5.6.4.0 build 636558520 only
- Amazon Fire HD 10 2019 -- up to Fire OS 7.3.1.0 only
- Amazon Fire TV 2 -- up to Fire OS 5.2.6.9 only
- ASUS ZenFone Max Plus X018D
- ASUS ZenPad 3s 10 Z500M
- ASUS ZenPad Z3xxM(F) MT8163-based series
- Barnes & Noble NOOK Tablet 7" BNTV450 & BNTV460
- Barnes & Noble NOOK Tablet 10.1" BNTV650
- Blackview A8 Max
- Blackview BV9600 Pro (Helio P60)
- BLU Life Max
- BLU Life One X
- BLU R1 series
- BLU R2 LTE
- BLU S1
- BLU Tank Xtreme Pro
- BLU Vivo 8L
- BLU Vivo XI
- BLU Vivo XL4
- Bluboo S8
- BQ Aquaris M8
- CAT S41
- Coolpad Cool Play 8 Lite
- Dragon Touch K10
- Echo Feeling
- Gionee M7
- HiSense Infinity H12 Lite
- Huawei GR3 TAG-L21
- Huawei Y5II
- Huawei Y6II MT6735 series
- Lava Iris 88S
- Lenovo C2 series
- Lenovo Tab E8
- Lenovo Tab2 A10-70F
- LG K8+ (2018) X210ULMA (MTK)
- LG K10 (2017)
- LG Tribute Dynasty
- LG X power 2/M320 series (MTK)
- LG Xpression Plus 2/K40 LMX420 series
- Lumigon T3
- Meizu M5c
- Meizu M6
- Meizu Pro 7 Plus
- Nokia 1
- Nokia 1 Plus
- Nokia 3
- Nokia 3.1
- Nokia 3.1 Plus
- Nokia 5.1
- Nokia 5.1 Plus/X5
- Onn 7" Android tablet
- Onn 8" & 10" tablet series (MT8163)
- Oppo A5s
- Oppo F5 series/A73 -- Android 8.x only
- Oppo F7 series -- Android 8.x only
- Oppo F9 series -- Android 8.x only
- Oukitel K12
- Protruly D7
- Realme 1
- Sony Xperia C4
- Sony Xperia C5 series
- Sony Xperia L1
- Sony Xperia L3
- Sony Xperia XA series
- Sony Xperia XA1 series
- Southern Telecom Smartab ST1009X (MT8167)
- TECNO Spark 3 series
- Umidigi F1 series
- Umidigi Power
- Wiko Ride
- Wiko Sunny
- Wiko View3
- Xiaomi Redmi 6/6A series
- ZTE Blade A530
- ZTE Blade D6/V6
- ZTE Quest 5 Z3351S
而這個漏洞雖然是在三月份才公布的,但是事實上在去年,就有一位XDA 論壇的網友發現了這個漏洞,當時他是在分析Amazon Fire Tablet 的時候,發現了這個漏洞,之後並且意外的發現這個漏洞竟然適用於幾乎所有聯發科64位元晶片的手機,可以往前追溯到2015年的手機都有這個漏洞。因此,不知道這段期間是否其實已經有犯罪分子早發現這個漏洞,只是沒有公布而已。
聯發科在去年五月份已經發佈了這個漏洞的安全更新給他們的客戶廠商,但是因為有些機種已經年代已久,這些客戶並不一定會提供安全更新檔給消費者。而且,這些手機因為多半都是中低階的機種,廠商也不會花太多的心力在維護更新上,因此估計目前可能依然有百萬台手機還有這種漏洞存在。
👉 歡迎加入T客邦telegram ( https://t.me/TechbangNEWS )
- 新聞來源:zdnet
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!