智通财经APP获悉,XDA开发人员今日(3月4日)透露,谷歌(GOOG.US)已修补了一个严重的安全漏洞,该漏洞通过联发科(MediaTek)的芯片组影响了数以万计的Android设备。
该漏洞是CPU固件中的rootkit。XDA表示,它可用一个简单的脚本获取几乎所有使用联发科64位芯片的安卓设备的超级用户权限。它已经损害了数百种低、中端智能手机、平板电脑和机顶盒。
谷歌在3月份的安卓安全公告中提到了这个补丁(CVE-2020-0069)。虽然这是第一次公开披露,但有关该漏洞利用程序的详细信息已经在线发布了几个月。该漏洞仍然可以在许多设备型号上使用,且许多黑客正在积极使用它。更糟糕的是,许多设备根本无法获得补丁。
而使用此漏洞的黑客可以通过多种方式造成损害。例如,他们可以在对方设备上安装任何应用程序,然后向其授予入侵设备所需的任何权限。如果使用不当,root用户访问权可能会启用勒索软件,并可能使整个设备无法使用。
自2019年5月以来,联发科已提供修补程序来修复此漏洞,但该公司无法强制原始设备制造商修复其设备。不过,XDA解释说,谷歌可以通过许可协议和程序条款迫使许多原始设备制造商这样做。尽管如此,根据XDA的说法,谷歌在采取行动前几个月就知道了这个漏洞。考虑到这一缺陷的广泛性和危险性,这令人非常不安。