谷歌發(fā)布安卓高危漏洞 黑客可完全控制至少18款手機(jī)

　　北京時(shí)間10月5日晚間消息，據(jù)國(guó)外媒體報(bào)道，谷歌“Project Zero”研究小組的一名成員日前表示，攻擊者正在利用谷歌Android移動(dòng)操作系統(tǒng)中的“零日漏洞”進(jìn)行攻擊，該漏洞可以讓他們完全控制至少18種不同型號(hào)的手機(jī)，包括四個(gè)型號(hào)的Pixel手機(jī)。

　　“Project Zero”研究小組成員麥迪·斯通(Maddie Stone)在一篇文章中稱(chēng)，有證據(jù)表明該漏洞正被利用，不是被NSO集團(tuán)利用，就是它的一個(gè)客戶(hù)。對(duì)此，NSO集團(tuán)已給予否認(rèn)，稱(chēng)“該漏洞被利用與NSO無(wú)關(guān)”。

　　據(jù)悉，要利用該漏洞，只需很少或者根本無(wú)需對(duì)手機(jī)進(jìn)行自定義。確切而言，可以通過(guò)兩種方式利用該漏洞：1)當(dāng)目標(biāo)手機(jī)安裝一個(gè)不受信任的應(yīng)用程序時(shí);2)將該漏洞與Chrome瀏覽器的一個(gè)漏洞相結(jié)合，從而發(fā)動(dòng)在線(xiàn)攻擊。

　　斯通稱(chēng)：“該漏洞屬于一個(gè)本地權(quán)限提升漏洞，允許對(duì)易受攻擊的設(shè)備進(jìn)行完全控制。”受該漏洞影響的手機(jī)至少包括下列型號(hào)產(chǎn)品：

　　Pixel 1

　　Pixel 1 XL

　　Pixel 2

　　Pixel 2 XL

　　華為P20

　　小米紅米5A

　　小米紅米Note 5

　　小米A1

　　Oppo A3

　　Moto Z3

　　Oreo LG phones

　　三星S7

　　三星S8

　　三星S9

　　對(duì)此，谷歌Android團(tuán)隊(duì)的一名成員表示，該漏洞將在10月份的Android安全更新中得到修補(bǔ)，該更新可能會(huì)在未來(lái)幾天內(nèi)發(fā)布。另外，谷歌Pixel 3和Pixel 3a機(jī)型不受影響。

　　“Project Zero”團(tuán)隊(duì)另一名成員蒂姆·威利斯(Tim Willis)引用Android團(tuán)隊(duì)成員的話(huà)稱(chēng)：“這是一個(gè)‘高危漏洞’(high severity)。”

　　谷歌代表在一封電子郵件中寫(xiě)道：“Pixel 3和3a設(shè)備不容易受到這個(gè)問(wèn)題的影響，而Pixel 1和Pixel 2設(shè)備很快將受到10月份安全更新的保護(hù)，該更新將在未來(lái)幾天內(nèi)發(fā)布。”

　　據(jù)斯通稱(chēng)，她從谷歌“威脅分析小組”收到的信息表明，該漏洞“據(jù)稱(chēng)被NSO集團(tuán)使用或出售”，該集團(tuán)是一家向各種政府實(shí)體出售漏洞和間諜軟件的開(kāi)發(fā)商。

　　但總部位于以色列的NSO集團(tuán)代表隨后表示：“NSO沒(méi)有出售，也永遠(yuǎn)不會(huì)出售安全漏洞。該漏洞的利用與NSO無(wú)關(guān)，我們的工作重點(diǎn)是，開(kāi)發(fā)那些旨在幫助授權(quán)情報(bào)和執(zhí)法機(jī)構(gòu)拯救生命的產(chǎn)品。”