陋室 此恨綿綿無絕期

0愛的鼓勵 1訂閱站台

2020/03/03 17:31

文／記者黃敬淳

Google 稍早依慣例公佈了今年 3 月的 Android 資安報告，其中的一項漏洞「CVE-2020-0069」，因 CVSS 指標來到 9.3/10，可能是近期 Android 生態圈中，屬一屬二重大的資安漏洞。Google 資料中顯示，該漏洞與聯發科的處理晶片有關。

一項由 Google 公佈的漏洞影響了搭載聯發科處理器的手機（圖／翻攝自 Google 官網）

這項漏洞，可以讓開發者或惡意人士，無需 bootloader 程序，就能獲得 root 權限，並存取或寫入內核記憶體（Kernel memory），進而「完全控制」整個 Android 系統，再對各種資料予起予求。手機上的任何應用程式如果願意，也都可以經由這項漏洞，達到控制特定 Android 手機的目的。

而據科技網站《XDA》消息，目前較易受到影響的裝置，包括採用以下聯發科處理器的裝置：MT6735、MT6737、MT6738、MT6739、MT6750、MT6753、MT6755、MT6757、MT6758、MT6761、MT6762 、MT6763、MT6765、MT6771、MT6779、MT6795、MT6797、MT6799、MT8163、MT8167、MT8173、MT8176、MT8183、MT6580 和 MT6595。

若以品牌來看，可能「中招」的手機，至少包括 Vivo、華為、榮耀、OPPO 以及三星旗下的產品，系統版本則為 Android 7、Android 8 和 Android 9。另外，儘管在執行 Android 10 的手機上，該漏洞帶來的影響會受到防護，不過因多數搭載聯發科處理器皆為平價手機，除了後續的升級更新較不積極，用戶在使用習慣上，也較可能會輕忽這類資安消息。

《XDA》也稱，該漏洞其實早在去年 2 月，就在《XDA 論壇》上曝光，來源則是一名國外網友嘗試破解自己的 Amazon Fire 平板，並將手法分享到社群上，卻意外地被發現這其實是一個大型的資安漏洞，但當時為了配合 Google 要求，選擇延後曝光這一消息。

儘管 Amazon 和聯發科皆在去年就進行更新，但到了今年 3 月，仍有數十家採用聯發科處理器的 OEM 廠商沒有更新聯發科提供的補丁，因此，聯發科已轉向 Google 求助，希望藉由 Google 的政策和 Android 安全更新來解決相關問題。

至於憂心的用戶，則只能先等待廠商推送安全性更新（實際上該漏洞已至少存在了幾個月）。此外，若預算足夠，或許也應盡量選擇更新頻率較高、支援期限也較長的手機品牌。《XDA》也提供一個腳本，讓用戶檢查自己的手機是否面臨該漏洞的威脅。