转录吴泓霖FB(john wu；magisk作者） [Android 系统安全三两事] 今天 Google 公开了一个重大 Android 系统资安事件，在资安圈内引发不小的反响，而 且意外的跟台湾有关联 。这件事其实在一个月前我就得知了，不过为了配合 Google 的 要求，一直等到今天才正式公开。 故事要从去年二月开始说起：XDA 论坛上的某位名叫 "diplomatic" 的网友为了改机 Ama zon 的廉价平板 Fire Tablet 系列 (使用联发科的晶片)，开始分析其系统来找漏洞，最 终被他找到某个内核 (Linux kernel) 驱动程式的软体漏洞。不久後他便发现，这个漏洞 竟然几乎在「所有」使用联发科 64 位元晶片的手机都存在 (包含 2015 的型号)！但他 非但没有通告任何厂商，反而还在 4 月的时候在 XDA 论坛上很「天真」的发表「联发科 ARMv8 通用的奇蹟破解」一文，想说可以「造福」大量想要改机的手机玩家。 所以说，这个所谓漏洞，到底多严重？ 简直是灾难！CVSS 指标高达 9.3/10！ 简单解释这个漏洞给了解 OS 的人：它可以让 userspace 的程式直接对 kernel memory 存取/写入。这基本上就等於随便一个恶意程式都能「完全」操控整个系统，窃取任意使 用者资料什麽的都是小 case！ 联发科表示，他们在去年 5 月其实就得知这个漏洞，并有将修正补丁发送给他们的客户 。若联发科的声明属实，那即便漏洞的补丁已经存在超过 9 个月，至今几乎市面上所有 使用联发科 64 位元晶片的机型都仍未将其修复，受影响的机子恐达上千万，不容小觑！ 使用联发科晶片的手机大都是中低阶机型。这些手机通常因为利润过低，提供售後系统维 护不仅不敷成本，购买的用户大多根本也不会在意 (俗够大碗的手机，有什麽好嫌的？) ，所以基本上手机买来的当天就是所谓「孤儿机」，不怎麽会收到系统更新。 智慧型手机已经成为人们生活极重要的一部分，小小一台装置基本上存有我们所有的资料 。这个事件警惕我们，有系统更新是幸福的，收到通知後最好尽快升级！还有，如果经济 许可的话，千万不要贪小便宜去买廉价手机！ 。。。。。。。 P.S. 为什麽最後会牵扯上 Google？为何被要求等到 3 月才能公开此消息？这就得说明 Google 对 Android 系统的资安政策，不过因篇幅关系这里就省略了。欲知後事如何，且 待下回分解 —————————— 底下留言补充 P.S.S. 这个是 XDA 为此次事件做的超详细报导 (此文作者有跟我请教过)，若想知道更 多细节的 (或是等不及我下回更新 XDD)，可以做直接参考 https://www.xda-developers.com/mediatek-su-rootkit-exploit/ —————————— 去年5月就知道漏洞 距离现在几乎快一年了 低阶安卓手机用户的个资真easy --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.223.8.159 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobileComm/M.1583219859.A.1FF.html