• 發布單位:TWCERT/CC
• 更新日期:2020-05-20
• 點閱次數:1226

Google 資安團隊 Project Zero 發表最新警訊，指出一個新近發現的 Android 系統 0-day 漏洞，可讓駭客取得手機的完整控權；至少有 18 款暢銷 Android 手機存有此一漏洞。

被點名存有此漏洞的 Android 暢銷手機部分名單，包括：

• Pixel 1
• Pixel 1 XL
• Pixel 2
• Pixel 2 XL
• Huawei P20
• Xiaomi Redmi 5A
• Xiaomi Redmi Note 5
• Xiaomi A1
• Oppo A3
• Moto Z3
• Oreo LG Phones
• Samsung S7
• Samsung S8
• Samsung S9

Project Zero 的研究人員指出，這個漏洞可讓駭侵者在用戶不知情的情況下，將手機進行 Root 並取得完整控制權；用戶如果安裝了不安全的 App，或是進入含有惡意軟體下載連結的網站並點擊惡意連結，就有可能遭到攻擊。

研究人員說，這個漏洞是屬於「權限提升」型的漏洞，而且可在沙盒中執行。研究人員也懷疑，利用這個漏洞進行駭侵的工具，很可能是由以色列的 NSO 公司所研發，並提供其客戶使用；然而這個說法已遭 NSO 否認。

Google 將會在十月發行的 Android 安全修補更新中修補這個漏洞，但其他手機製造商是否也會即時推出安全更新， 目前還不清楚。