Android手机网安漏洞 Google、三星消极应对
来源:徐畇融 发布时间:2022-12-02 分享至微信


网安漏洞成为威胁手机用户隐私的一大隐忧。DIGITIMES数据照片
网安漏洞成为威胁手机用户隐私的一大隐忧。DIGITIMES数据照片

Google旗下的软件网安团队Project Zero于2022年6月发现,ARM Mali GPU的驱动程序中,存在5个威胁程度被列为中等的网安漏洞,影响Android手机系统安全性。虽然ARM 1个月后在开发者网站承认此一问题并发布更新,但截至2022年11月,几间采用ARM Mali GPU的Android手机品牌,包括三星电子(Samsung Electronics)、乐金电子(LG Electronics)、小米、OPPO甚至Google自己,都尚未推出修复此一漏洞的安全性更新。


据TechRadar与SiliconANGLE报导,5个漏洞分属CVE-2022-33917和CVE-202236449两个识别码。其中1个漏洞会造成核心存储器毁损、1个会透露实体存储器位置,另外3个则是与释放后使用(UAF)漏洞有关。上述漏洞允许黑客绕过Android系统的权限保护,取得权限反复读取和写入实体页面、存取使用者数据。


Project Zero网安专家Ian Beer表示,其公布的ARM Mali GPU漏洞与目前黑客在零时差漏洞市场和暗网页面上,兜售交易的漏洞不谋而合。


尽管软件方发现问题并提出警告,硬件方的反应却慢了不只半拍。各家OEM厂皆使用ARM Mali GPU的Android手机,但搭载的Android系统都是经各自修改微调的版本,因此需各自为旗下产品推出更新,方可修正上述威胁。


以Google为例,即便该公司网安软件团队发现驱动程序漏洞,也在自家Pixel 6、Pixel 7手机侦测到潜在风险,但相关部门迟迟未有对应措施,导致使用者持续暴露在网安风险中。


对此,Beer认为包括Google在内的硬件厂商,有责任尽快推出修正漏洞的系统更新,「就像我们会建议使用者,若有看到升级网安的更新,最好第一时间就安装;品牌方和手机厂商也是一样,尽可能地最小化发现问题到推出更新的时间差尤其重要,否则使用者就算有心挽救也无计可施。」



责任编辑:游允彤

[ 新闻来源:DIGITIMES科技网,更多精彩资讯请下载icspec App。如对本稿件有异议,请联系微信客服specltkj]
存入云盘 收藏
举报
全部评论

暂无评论哦,快来评论一下吧!