对于收到Android每月安全更新的重要性,怎么强调都不过分。如果你需要另外一个例子来说明原因,只要看看CVE-2020-0022安全公告就知道了,这是一个允许黑客可在一些Android设备上经由蓝牙连接执行任意程序代码的新漏洞。
这个安全性漏洞是由德国海德堡IT安全公司ERNW发现的。以下是该公司对该漏洞的描述:
在Android 8.0及9.0系统上,只要激活了蓝牙,附近的远程攻击者就可以通过蓝牙Daemon程序权限,悄悄地执行任意程序代码。不需要用户交互,只需要知道目标设备的蓝牙MAC地址便能远程发动攻击。对于某些设备,蓝牙MAC地址可以经由Wi-Fi MAC地址推断出来。该漏洞可能导致个人数据遭窃,并可能被用来散播恶意软件(短距离蠕虫)。
虽然具体细节尚未公布,但2020年2月发布的安全更新修补中已经包含相关的修补程序。如果你的手机或平板电脑已经升级到Android 10的话,那么你会很安全,该漏洞除了会瘫痪Android蓝牙堆栈之外,并不会对该版本的Android系统造成影响。
如果你的设备仍然使用Android 9 Pie或更低的版本,或许也不用太过担心,毕竟黑客要找到蓝牙MAC地址并不是一件简单的事情。
(首图来源:Android)