Google安全研究团队Project Zero在上周披露一个Android零时差漏洞CVE-2019-2215,这是一个释放后使用(use-after-free)漏洞,允许黑客扩张权限并取得设备的控制权,且已有攻击程序在网络上流窜,殃及包括Pixel在内的十多款Android手机。
披露该漏洞的安全研究人员Maddie Stone表示,该漏洞其实曾在2017年12月被修补,只是不知道为什么在最近的Android版本又重新出现,它波及Pixel 1/1 XL、Pixel 2/2 XL、Huawei P20、Xiaomi Redmi 5A、Xiaomi Redmi Note 5、Xiaomi A1、Oppo A3、Moto Z3、Oreo LG phones,以及Samsung S7/S8/S9等十多款Android手机,也可能有其它手机含有该漏洞。
虽然就算是Google的Pixel 1与Pixel 2系列手机都受累,但Pixel 3系列并未被波及。
在攻击程序现身于网络上之后,黑客只要在目标设备上安装恶意程序,或是搭配浏览器的攻击程序,就有机会取得设备控制权。
Stone推断该零时差攻击程序是由以色列黑客公司NSO Group所打造,但NSO向媒体澄清,此事与该公司无关,强调NSO并未出售漏洞或攻击程序,所从事的都是合法业务,例如协助合法的情报或执法机构挽救生命。
至于Google则准备在即将发布的10月Android安全公告中,修补该漏洞。