廠商未及時更新修正   Google 團隊揭大量 Android 手機有保安風險

虎仔 / 馬日山 | Android
03FB.jpg
Google Project Zero 由一群保安分析人員組成,他們受聘於 Google 去尋找各類保安漏洞。早前 Google Project Zero 就發出警告,指多間廠商未有及時提供 Arm Mali GPU 漏洞的修正檔,讓大量 Android 手機用戶需要面對保安風險。

涉及多款 Mali 圖像處理器

涉及的 5 個漏洞被評為中度至嚴重程度,分別在今年 6 月和 7 月發現,與 Arm 的 Mali G710、G610、G510、G76、G72、G52、T800、T700 的 GPU 驅動程式有關。上述漏洞其中一個會導致內核記憶損毀,另一個則導致物理位置外洩,其餘三個則與物理頁面使用條件有關。不法份子藉著漏洞,可以持續讀寫物理頁面。有關漏洞已經在暗網頁面和專門市場上架,駭客和攻擊群組可以購買並加以利用。

大量手機有保安風險

雖然 Arm 在接獲通報後,已經於 7 月和 8 月作出修正,將問題公諸於世並在開發者網站提供修正的驅動程式,可惜直至 11 月底,仍然未有主流手機廠商將修正檔向用戶推送。遭到 Google Project Zero 點名的包括 Samsung、小米、OPPO 和 Google 的 Pixel 系列,等使用上面提過 Mali GPU 的廠商還有很多。上述漏洞正正是團隊在 Pixel 6 發現,偏偏 Google 自己卻未能身先士卒盡快將修正檔通過保安更新提供予用戶。

資料來源:siliconangle
 
廣告