轉錄吳泓霖FB(john wu；magisk作者） [Android 系統安全三兩事] 今天 Google 公開了一個重大 Android 系統資安事件，在資安圈內引發不小的反響，而 且意外的跟台灣有關聯 。這件事其實在一個月前我就得知了，不過為了配合 Google 的 要求，一直等到今天才正式公開。 故事要從去年二月開始說起：XDA 論壇上的某位名叫 "diplomatic" 的網友為了改機 Ama zon 的廉價平板 Fire Tablet 系列 (使用聯發科的晶片)，開始分析其系統來找漏洞，最 終被他找到某個內核 (Linux kernel) 驅動程式的軟體漏洞。不久後他便發現，這個漏洞 竟然幾乎在「所有」使用聯發科 64 位元晶片的手機都存在 (包含 2015 的型號)！但他 非但沒有通告任何廠商，反而還在 4 月的時候在 XDA 論壇上很「天真」的發表「聯發科 ARMv8 通用的奇蹟破解」一文，想說可以「造福」大量想要改機的手機玩家。 所以說，這個所謂漏洞，到底多嚴重？ 簡直是災難！CVSS 指標高達 9.3/10！ 簡單解釋這個漏洞給了解 OS 的人：它可以讓 userspace 的程式直接對 kernel memory 存取/寫入。這基本上就等於隨便一個惡意程式都能「完全」操控整個系統，竊取任意使 用者資料什麼的都是小 case！ 聯發科表示，他們在去年 5 月其實就得知這個漏洞，並有將修正補丁發送給他們的客戶 。若聯發科的聲明屬實，那即便漏洞的補丁已經存在超過 9 個月，至今幾乎市面上所有 使用聯發科 64 位元晶片的機型都仍未將其修復，受影響的機子恐達上千萬，不容小覷！ 使用聯發科晶片的手機大都是中低階機型。這些手機通常因為利潤過低，提供售後系統維 護不僅不敷成本，購買的用戶大多根本也不會在意 (俗夠大碗的手機，有什麼好嫌的？) ，所以基本上手機買來的當天就是所謂「孤兒機」，不怎麼會收到系統更新。 智慧型手機已經成為人們生活極重要的一部分，小小一台裝置基本上存有我們所有的資料 。這個事件警惕我們，有系統更新是幸福的，收到通知後最好盡快升級！還有，如果經濟 許可的話，千萬不要貪小便宜去買廉價手機！ 。。。。。。。 P.S. 為什麼最後會牽扯上 Google？為何被要求等到 3 月才能公開此消息？這就得說明 Google 對 Android 系統的資安政策，不過因篇幅關係這裡就省略了。欲知後事如何，且 待下回分解 —————————— 底下留言補充 P.S.S. 這個是 XDA 為此次事件做的超詳細報導 (此文作者有跟我請教過)，若想知道更 多細節的 (或是等不及我下回更新 XDD)，可以做直接參考 https://www.xda-developers.com/mediatek-su-rootkit-exploit/ —————————— 去年5月就知道漏洞 距離現在幾乎快一年了 低階安卓手機用戶的個資真easy -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.223.8.159 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1583219859.A.1FF.html