Google零項目研究小組(ProjectZero Research Group)一名成員周四晚表示,攻擊者正在利用GoogleAndroid移動操作系統中的零日漏洞,使他們完全控制至少18種不同手機,包括4種不同型號的GooglePixel手機。
零項目成員Maddie Stone在文章中說,有證據表明漏洞利用者NSO Group或其客戶之一正在積極利用該漏洞。漏洞利用幾乎不需要定製即可完全紮根易受攻擊的手機。可以通過兩種方式利用此漏洞:(1)當目標安裝不受信任的應用程序時,(2)通過將此漏洞與針對chrome瀏覽器用於呈現內容代碼的漏洞攻擊結合使用。
Maddie Stone表示,該漏洞是一個本地特權升級漏洞,它可以完全破壞易受攻擊的設備,受此漏洞影響的設備如下:
Pixel 1
Pixel 1 XL
Pixel 2
Pixel 2 XL
華為 P20
紅米5A
紅米 Note 5
小米A1
Oppo A3
Moto Z3
Oreo LG phones
三星 S7
三星 S8
三星 S9
GoogleAndroid團隊表示,Google10月Android安全更新將修補此漏洞,該更新可能會在未來幾天內發布給Pixel系列手機用戶。修補其他設備的時間表尚不清楚。 Pixel 3和Pixel 3a設備不受影響。
Google代表在一封電子郵件中寫道:「 Pixel 3和3a設備不容易受到此問題的影響,Google10月Android安全更新將為Pixel 1和2修補此漏洞,該版本將在未來幾天內交付給客戶。此外,已經為合作夥伴提供了修正檔,以確保保護Android生態系統免受此問題侵害。
來源:cnBeta
