Android 裝置出現 Root 權限資安漏洞,需儘速更新

android-lightImage by Pasi Mämmelä from Pixabay 

在 2020 年 3 月公告的 Android 安全更新中,Google 已確認 CVE-2020-0069 這項安全漏洞影響到數百萬台 Android 裝置,為網路犯罪者所利用。

此漏洞存在聯發科生產的 64 位元晶片之命令佇列驅動程式。此漏洞的攻擊細節在 2019 年初便已出現在網路上,可使駭客取得被攻擊裝置的 root 權限。一般來說,要取得 Andorid 裝置的 root 權限,必須先解鎖 Bootloader,但利用 CVE-2020-0069 漏洞,不需解鎖 Bootloader,只要複製已在網路上流傳的攻擊腳本程式,再於 Shell 中執行,即能取得 root 權限控制裝置,因此此漏洞嚴重程度被評定為「高」。

聯發科在 2019 年 5 月便對 OEM 廠發出韌體更新,2020 年 3 月的 Android 安全更新公告已確認 Google 已在此次更新中修復漏洞。行動軟體開發社群 XDA-Developers 論壇指出,此漏洞的攻擊細節在 2019 年 4 月時便已在該網站上曝光,並提到使用此漏洞的惡意程式如何在 Google 商店上被發現而且被移除。已知這些 app 會由目標裝置中竊取資料。

由於受到影響的晶片大多用於中低階 Adnroid 手機、平板或機上盒,這些裝置的製造商並無及時修補安全漏洞的習慣。因此,可能有上百萬台裝置受到此漏洞影響。即使聯發科去年已修補該漏洞,卻無法強迫所有的裝置製造商更新。現在期望藉由 Google 的號召力來提醒製造商儘速進行安全更新。

不過,Android 10 系統似乎不受影響,只有 Android 7、8 和 9 等系統才容易受此漏洞攻擊。雖說這個漏洞所授與的 root 權限是暫時的,重開機之後 root 權限又會被鎖起來。但是惡意程式會在每次開機後,重新執行攻擊腳本,而且一旦得到 root 權限,當下便可竊取資料及安裝其它惡意軟體。呼籲 Android 使用者應儘速執行 2020 年 3 月發佈的 Android 安全更新,並在安裝 app 時留心其所要求的權限及 app 安裝位置,才能有效防堵漏洞。