Google在本周发布了今年3月的Android安全公告,修补了71个安全漏洞,而移动软件开发社群XDA Developers,则大篇幅地针对其中的CVE-2020-0069漏洞提出警告,这是一个存在于联发科芯片中的安全漏洞,允许黑客直接取得设备的根权限,波及超过20款联发科芯片与数百万Android设备,而且已被开采。
根据XDA Developers的报道,该漏洞的攻击细节在2019年4月时便已于该站曝光,且联发科在去年5月就修补了该漏洞,只不过,由于相关芯片主要供中、低端的Adnroid手机、平板或机顶盒使用,这些设备制造商并无及时修补安全漏洞的习惯,再加上该漏洞已被黑客开采,才使得联发科决定求助于Google,通过Google的安全公告督促企业修补。
XDA Developers解释了CVE-2020-0069漏洞的严重性。一般而言,若要取得Andorid设备的根权限,首先得解锁引导程序,关闭启动区的验证,用户才能在Android系统上注入执行档与管理程序,但有了CVE-2020-0069漏洞,用户完全不需要执行上述程序,只要复制已在网络上流传的攻击脚本程序,再于Shell中执行即能取得根权限,而且不只是设备用户,任何手机上的应用程序,只要在程序中嵌入该脚本程序,同样能取得该设备的根权限。
一旦取得了根权限,代表黑客就能安装任何程序、赋给程序所有的许可,也能访问设备上的所有数据。
只是就算联发科去年就修补了该漏洞,却无法强迫所有的设备制造商更新,目前XDA Developers仅确定Amazon已修补了相关设备上的该漏洞,但依然有数十家设备制造商装聋作哑。
这使得联发科在去年底告知Google该漏洞,期望借由Google的号召力来提醒制造商。Google则把CVE-2020-0069列为高度(High)严重漏洞,但并未进一步说明该漏洞的细节。