按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

使用國內企業晶片的 Android 手機出現嚴重資安漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-05-20
  • 點閱次數:2073
使用國內企業晶片的 Android 手機出現嚴重資安漏洞 TWCERT/CC

廣泛用於中低階 Android 手機的國內某企業 64 位元處理器,日前被發現存有嚴重資安漏洞,用簡單的指令即可取得 root 權限。

這個 CVSS 嚴重程度評分高達 9.3 分的極嚴重漏洞,在 2019 年就於 XDA-Developer 上被獨立資安研究人員提出,並將之命名為「MediaTek-SU」。

該研究人員是在試圖破解自己的 Amazon Fire 平板電腦時,發現這個嚴重的漏洞;只要用幾行指令,連 bootloader 都不需要,就可以立即取得系統最高的 root 權限,幾乎可以為所欲為。

據 XDA-Developers 網站上的資料,下列該企業的晶片都存有這個嚴重的漏洞:MT6735、MT6737、MT6738、MT6739、MT6750、MT6753、MT6755、MT6757、MT6758、MT6761、MT6762 、MT6763、MT6765、MT6771、MT6779、MT6795、MT6797、MT6799、MT8163、MT8167、MT8173、MT8176、MT8183、MT6580 和 MT6595;以品牌來看則至少包括 Vivo、華為、榮耀、Oppo、三星等,系統版本則為 Android 7、8、9。

雖然在去年就修補了這個漏洞,新版的 Android 10 也已不受影響,但由於處理器多半用在中低階 Android 裝置,生產這類中低階裝置的廠商,多半不會在產品上市後積極提供系統軟體更新服務,因此市面上恐有大量 Android 裝置存有這個漏洞,而且難以全面修補。


CVE編號:CVE-2020-0069

影響版本:採用國內某企業處理器的 Android 7、8、9 裝置

回頁首