【猎云网(微信号:ilieyun
)】10月5日报道(编译:商纣)
谷歌Project Zero研究小组的一名成员周四晚间表示,攻击者正在利用谷歌Android移动操作系统中的零日漏洞,该漏洞可使他们完全控制至少18种不同的手机型号,其中包括4种不同的Pixel手机型号。
Project Zero研究小组成员Maddie Stone在一篇文章中说,有证据表明漏洞利用者NSO Group或其客户之一正在积极利用该漏洞。与此同时,NSO的代表表示:“这次攻击与NSO无关。”这个漏洞只需要很少或根本不需要定制就可以完全渗透进那些易受攻击的手机类型。此漏洞可通过两种方式进行攻击:当目标安装不受信任的应用时,或进行在线攻击时,将该漏洞与针对Chrome浏览器用于呈现内容的代码中的漏洞相结合。
Stone写道:“该漏洞是一个本地权限升级漏洞,可以对那些易受攻击的设备进行全面攻击。如果这个漏洞是通过网络发布的,它只需要与一个渲染器漏洞配对,因为这个漏洞可以通过沙盒访问。”
易受攻击手机的“非详尽清单”包括:
Pixel 1、Pixel 1 XL、Pixel 2、Pixel 2 XL、Huawei P20、Xiaomi Redmi 5A、Xiaomi Redmi Note 5、Xiaomi A1、Oppo A3、Moto Z3、Oreo LG phones、Samsung S7、Samsung S8和Samsung S9。
高度严重的问题
谷歌Android团队的一名成员在同一个Project Zero中表示,无论如何,这个漏洞将会在10月份的Android安全更新中被修补到Pixel系列手机上。目前还不清楚其他设备的修复时间表,可以明确的是Pixel 3和Pixel 3A设备不受影响。
Project Zero的另一名成员Tim Willis引用Android团队成员的话写道:“这个问题在Android上被列为高度严重的问题,它本身就需要安装一个恶意应用,以便进行潜在的利用。其他任何载体,例如通过网页浏览器,都需要使用附加的漏洞进行链接。”
谷歌代表在一封电子邮件中写道:“Pixel 3和3A设备不容易受到这个问题的影响,而Pixel 1和Pixel 2设备将在10月份的安全发布中受到保护,该版本将在未来几天发布。此外,已经向合作伙伴提供了一个补丁,以确保Android生态系统不受这个问题的影响。”
该漏洞最初出现在Linux内核中,在2018年初的版本4.14中打了补丁,没有使用跟踪CVE。这个修复被整合到Android内核的3.18、4.4和4.9版本中。由于帖子中没有解释原因,这些补丁从未进入Android安全更新。这就解释了为什么早期的Pixel手机型号容易受到攻击,而后期的Pixel却不会。该缺陷现在被追踪为CVE-2019-2215。
还记得NSO吗?
Stone说,她从谷歌威胁分析小组得到的信息表明,这一漏洞“据称被NSO使用或出售”,NSO是一家开发漏洞和间谍软件的公司。
在这篇文章发布8小时后,NSO的代表在一封电子邮件中写道:“NSO没有、也永远不会出售漏洞。这个漏洞与NSO无关,我们的工作重点是开发旨在帮助获得许可的情报和执法机构用于拯救生命的产品。”
来自以色列的NSO在2016年和2017年发布了一款名为Pegasus的高级移动间谍软件,引起了广泛关注。它可以破解或根植于iOS和Android手机之中,因此这款软件可以搜索私人信息、激活麦克风和摄像头,并收集各种敏感信息。
Project Zero给了开发人员90天的时间在发布漏洞报告之前发布补丁,当然,如果出现主动攻击,则无法避免。这起案件中的Android漏洞是在向Android团队私下汇报七天后公布的。
虽然周四报告的漏洞很严重,但易受攻击的Android用户不必惊慌。像“Project Zero”所描述的那样,代价高昂且目标明确的攻击,被利用的机会微乎其微。同样,在安装补丁之前,推迟安装非必要的应用并使用非Chrome浏览器也是有意义的。
