▲Google 3 月的 Android 資安報告揭露聯發科晶片漏洞。(圖/取自免費圖庫Pixabay)
記者王曉敏/綜合報導
Google昨(3)日照慣例發布了 3 月的 Android 資安報告,其中一項關鍵安全漏洞「CVE-2020-0069」的 CVSS 指標高達 9.3/10,並涉及搭載聯發科晶片的數款設備。
科技網站《XDA》指出,雖然「CVE-2020-0069」是在 3 月的 Android 資安報告中首度披露,但事實上,自 2019年 4 月,其細節已在 XDA 論壇上公開。儘管聯發科當時已在一個月內向採用其處理器的 OEM 廠商提供補丁,但目前仍有數十家廠商未因此發布更新。更糟糕的是,目前該漏洞正被駭客積極利用,為此,聯發科才轉向求助於 Google,希望透過 Google 政策及 Android 更新來解決問題。
蘋果工程師吳泓霖昨日在臉書貼文描述整起事件,去年 2 月 XDA 論壇上一名為「diplomatic」的網友為改機 Amazon Fire 平板電腦(搭載聯發科晶片)時發現了該漏洞,「不久後他便發現,這個漏洞竟然幾乎在「所有」使用聯發科 64 位元晶片的手機都存在(包含 2015 的型號)!」。
據吳泓霖說法,該漏洞「可以讓 userspace 的程式直接對 kernel memory 存取/寫入。基本上就等於隨便一個惡意程式都能『完全』操控整個系統,竊取任意使用者資料什麼的都是小 case!」
吳泓霖表示,使用聯發科晶片的手機大都是中低階機型,「這些手機通常因為利潤過低,提供售後系統維護不僅不敷成本,購買的用戶大多根本也不會在意,所以基本上手機買來的當天就是所謂『孤兒機』,不怎麼會收到系統更新。」因此,即便聯發科已在去年 5 月知曉漏洞並向其客戶發送修正補丁,目前市面上所有使用聯發科 64 位元晶片的機型仍未獲修復。
以下為《XDA》列出較容易受到攻擊的聯發科處理器:MT6735、MT6737、MT6738、MT6739、MT6750、MT6753、MT6755、MT6757、MT6758、MT6761、MT6762 、MT6763、MT6765、MT6771、MT6779、MT6795、MT6797、MT6799、MT8163、MT8167、MT8173、MT8176、MT8183、MT6580 和 MT6595。
從品牌來看,「中招」的機款可能包括宏碁、華為、聯想、LG、Sony及中興等數十款較便宜的設備,XDA論壇上也有網友列出已確認的設備列表,用戶可查看自己的平板或手機是否在列表內。吳泓霖指出,智慧型手機已經成為人們生活極重要的一部分,「這個事件警惕我們,有系統更新是幸福的,收到通知後最好盡快升級!還有,如果經濟許可的話,千萬不要貪小便宜去買廉價手機!」
讀者迴響