迟到总比不到好

4漏洞攻击给黑客完全控制Android设备

谷歌更新一枚安全公告说两星期的一些漏洞被0天。

电脑屏幕上满是1和0还包含一个谷歌标志和黑客这个词。

未知的黑客已经利用四个Android漏洞,允许恶意代码的执行,可以完全控制设备,谷歌周三警告。

所有四个的漏洞两周前披露在谷歌的Android安全公告。谷歌发布了安全更新设备制造商,然后对用户负责分发补丁。

谷歌5月3日公告最初没有报告任何的约50名漏洞覆盖正在积极开发。周三,谷歌更新咨询说的“迹象”,有四个漏洞”可能受到限制,有针对性的开发。”玛迪斯通,谷歌的Project Zero利用研究小组的一员,消除了歧义。她在Twitter上宣布“4 vulns被利用在野外“零日。

完全控制

成功利用的漏洞”将完全控制受害者的移动终端,“Asaf法勒,安全公司Zimperium战略项目的副总裁,在一封电子邮件中说。“从提升特权超出可用默认执行代码在当前进程的现有沙箱之外,该设备将被完全破坏,也没有数据是安全的。”

到目前为止,已经有四个Android零日漏洞透露,今年与2020年的相比,从Zimperium数据显示。

两个的漏洞是高通Snapdragon处理器,这力量大多数Android设备在美国和海外大量的手机。cve - 2021 - 1905第一个漏洞是跟踪,是一个内存泄露的缺陷,允许攻击者与自由根特权执行恶意代码。脆弱性划分为严重,评级的7.8分(满分10

其他的弱点,cve - 2021 - 1906,是一个逻辑缺陷,可能导致失败在分配新GPU内存地址。等级是5.5。频繁,黑客链两个或两个以上的利用起来,绕过安全保护。可能是这样两个金鱼草的缺陷。

其他两个漏洞受到攻击位于司机使用手臂的图形处理器。cve - 2021 - 28663和cve - 2021 - 28664也是内存损坏缺陷允许攻击者获得根脆弱的设备上访问。

从谷歌没有可操作的建议

没有其他的细节在野外的攻击。谷歌的代表没有回复邮件询问用户如何判断他们的目标。

所需的技能利用的漏洞导致一些研究人员推测,nation-state-backed黑客的攻击可能的工作。

“这个移动攻击向量的复杂性不是闻所未闻,但外部攻击者的能力与初级或者中级的知识移动端点黑客,“法勒说。“任何攻击者利用这个漏洞很可能这样做作为一个更大的打击一个人的一部分,企业或政府窃取重要的目标和私人信息。”

还不清楚有人会如何利用漏洞。攻击者可以发送恶意短信或诱骗目标安装恶意程序或访问恶意网站。

从谷歌没有更多可操作的信息,Android用户提供有用的建议是不可能的,我们只能说他们应该确保所有更新已经安装。那些使用Google的Android设备,将自动获得补丁在5月安全推出。其他设备的用户应该检查与制造商。

72年读者评论

  1. LineageOS帮派这里装有几周前这可能的安全补丁。
    13932个帖子|注册
  2. 我希望它只是不安装一个坏应用规避?
    15801个帖子|注册
  3. 谷歌应该为Android用户提供一种方法来下载和安装安全补丁没有等待他们的OEM。

    ,这可能无法适用于特定于硬件的设备驱动程序漏洞,但如果一个漏洞存在于某些版本的Android的所有实例,那么它应该在所有这些patchable实例。同样,如果相关的缺陷是一个通用的硬件组件,像高通Snapdragon SoC,应该有可能发布一个补丁,适用于使用该组件的所有的设备。

    在这一点上,谷歌依赖于oem厂商及时推出安全补丁,但oem更加依赖于Android。如果谷歌Android重组,这样用户可以直接下载补丁,或者更好的是——所以,谷歌可以直接向用户推送补丁,我看不到oem厂商从Android转向Tizen或WebOS。我也不能看到oem厂商说,“我们坚持一个旧版本的Android手机将更不安全!”

    我知道谷歌一直朝着这个方向在架构上,但他们需要移动得更远更快。

    最后一次编辑RoninX在2021年5月19日结婚,下午4:12

    2424个帖子|注册
  4. 好吧,该死的。

    有人做了回顾漏洞,声称“没有证据表明它已经利用在野外”以及如何有效的主张是什么?

    我们应该相信多少供应商的寻找证据?他们是如何严格他们的方法是搜索和效果如何?脆弱性将修补无论如何,所以它有时让我想知道这些语句的公关和真诚,善意详尽的搜索。

    现在,我谨慎怀疑当一个供应商说,他们找不到证据证明我希望有人能让我直接在下面的评论中。

    不过,如果你是感兴趣的任何人任何相对富裕的国家,有点毛骨悚然阅读这样的文章。待修补,人。
    689个帖子|注册
  5. 像素的设备目前在修补似乎所有cf减轻,这就是为什么唯一的设备我认真考虑替换像素3 5像素(这和电话屏幕,我无法想象回到没有它,没有我试过其他的一些调用应用程序,附近没有那么有效电话屏幕,我试过了)。
    14601个帖子|注册
  6. 知道如果这些影响Exynos或其他芯片吗?或者是谷歌只是现在没有告诉任何人吗?
    607个帖子|注册
  7. afidel写道:
    像素的设备目前在修补似乎所有cf减轻,这就是为什么唯一的设备我认真考虑替换像素3 5像素(这和电话屏幕,我无法想象回到没有它,没有我试过其他的一些调用应用程序,附近没有那么有效电话屏幕,我试过了)。

    我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。

    三星也承诺一年的更新谷歌承诺什么像素。
    2350个帖子|注册
  8. 好吧,这是一件好事大多数Android设备将谷歌的安全解决这在短期内可用的安装!
    426个帖子|注册
  9. 22283个帖子|注册
  10. afidel写道:
    像素的设备目前在修补似乎所有cf减轻,这就是为什么唯一的设备我认真考虑替换像素3 5像素(这和电话屏幕,我无法想象回到没有它,没有我试过其他的一些调用应用程序,附近没有那么有效电话屏幕,我试过了)。

    我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。

    三星也承诺一年的更新谷歌承诺什么像素。

    只有在设备,一系列设备(即我其实愿意购买)只有季度安全更新(虽然我只是检查,看来A52 / A52 5 g在月度安全节奏,这是一个可能性)。
    14601个帖子|注册
  11. afidel写道:
    像素的设备目前在修补似乎所有cf减轻,这就是为什么唯一的设备我认真考虑替换像素3 5像素(这和电话屏幕,我无法想象回到没有它,没有我试过其他的一些调用应用程序,附近没有那么有效电话屏幕,我试过了)。

    我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。

    三星也承诺一年的更新谷歌承诺什么像素。

    这绝对是一件好事,你仍然必须处理他们的臃肿软件。

    - d
    723个帖子|注册
  12. 将是非常酷的如果有补丁,这快,生态系统中的所有监测孔!
    393个帖子|注册
  13. Rockchurch写道:
    好吧,这是一件好事大多数Android设备将谷歌的安全解决这在短期内可用的安装!


    你忘记了/ s。
    8255个帖子|注册
  14. 我去更新我的4像素,这是促使我重新启动更新它刚刚下载。快乐的巧合。
    129个帖子|注册
  15. afidel写道:
    像素的设备目前在修补似乎所有cf减轻,这就是为什么唯一的设备我认真考虑替换像素3 5像素(这和电话屏幕,我无法想象回到没有它,没有我试过其他的一些调用应用程序,附近没有那么有效电话屏幕,我试过了)。


    同上或等待像素6。然后我的旧电话是我家族的学习平台。
    8255个帖子|注册
  16. 我有一个摩托罗拉Z3玩。它运行Android 9,没有未来的操作系统更新。我认真观察后回到iPhone 5 +年Android。
    981个帖子|注册
  17. bthylafh写道:
    LineageOS帮派这里装有几周前这可能的安全补丁。


    可能会导致我我的屁股和安装LineageOS下车。
    3327个帖子|注册
  18. Cervus写道:
    我有一个摩托罗拉Z3玩。它运行Android 9,没有未来的操作系统更新。我认真观察后回到iPhone 5 +年Android。

    你期待更好的摩托罗拉?
    6494个帖子|注册
  19. bthylafh写道:
    LineageOS帮派这里装有几周前这可能的安全补丁。


    可能会导致我我的屁股和安装LineageOS下车。



    思考同样的事情。我一直打算坚持像素6到10月,到目前为止已知的基础上,但这可能是踢我需要。(现在希望与谷歌没有任何古怪Fi)
    2职位|注册
  20. Cervus写道:
    我有一个摩托罗拉Z3玩。它运行Android 9,没有未来的操作系统更新。我认真观察后回到iPhone 5 +年Android。


    血统OS Z3玩。
    3327个帖子|注册
  21. Person_Man写道:
    afidel写道:
    像素的设备目前在修补似乎所有cf减轻,这就是为什么唯一的设备我认真考虑替换像素3 5像素(这和电话屏幕,我无法想象回到没有它,没有我试过其他的一些调用应用程序,附近没有那么有效电话屏幕,我试过了)。

    我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。

    三星也承诺一年的更新谷歌承诺什么像素。

    这绝对是一件好事,你仍然必须处理他们的臃肿软件。

    - d


    同意了。这是90%的原因我不会回到三星。
    10702个帖子|注册
  22. 所以稍微相关的问题:如何对手机杀毒软件好,或安全软件如诺顿360 ?今天我哥哥问我,老实说,我也不知道。未知的攻击向量是什么,除了侧面加载应用程序或点击不明链接?恶意程序和实例的商店,是安全软件可以缓解吗?
    2177个帖子|注册
  23. bthylafh写道:
    LineageOS帮派这里装有几周前这可能的安全补丁。


    在这种情况下,我不会这么大胆假设LineageOS是安全的。

    补丁级别只占代表平台变化——这些变化的平台。

    ——两个解析公共CAF内核变化有关。
    ——根据手臂,另两个vulns在马里内核GPU司机,他们显然已经解决了问题的两个三个系列GPU源滴(没有引用离散变化)。

    在所有情况下,它需要每个人维护人员做必要的。

    / /项目董事之一
    14个帖子|注册
  24. 如果攻击者是一个民族国家,避免使用诸如假基站发起一个利用吗?
    425个帖子|注册
  25. afidel写道:
    像素的设备目前在修补似乎所有cf减轻,这就是为什么唯一的设备我认真考虑替换像素3 5像素(这和电话屏幕,我无法想象回到没有它,没有我试过其他的一些调用应用程序,附近没有那么有效电话屏幕,我试过了)。

    我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。

    三星也承诺一年的更新谷歌承诺什么像素。


    这是不同于我的经验。

    我的星系S10 +现在还没有看到一个更新在3个月。
    292个帖子|注册
  26. 我的摩托八国集团权力收到了android 11 + 2021年4月补丁升级,所以我希望这种良好的趋势将继续。
    224个帖子|注册
  27. 有趣的,经过几十年的经验的Windows / Mac / Linux利用/更新/安全一般来说,我们似乎在某种程度上,现在在更糟糕的情况下。

    显然不是在利用所需的复杂性,过去有一些相当低挂水果,但至少能够保证自己似乎更直接。你会读到它在ARS或,立即运行windows更新,也许从女士手动下载补丁或你的操作系统提供商。

    现在我有3或4个不同的Android口味(实际上甚至可能更多考虑Chromecast &智能电视,不确定他们数)在众议院,上帝知道何时或是否他们将修补。

    也许我只是老了,希望事情回到他们从来没有的方式,但情况与Android安全(考虑到可用的先验知识)看起来一团糟。
    341个帖子|注册
  28. phaolo写道:
    我的摩托八国集团权力收到了android 11 + 2021年4月补丁升级,所以我希望这种良好的趋势将继续。


    就在前几天,我的八国集团电力(Verizon就其价值而言)Android 11……2021年2月补丁。我嫉妒你的好趋势。
    40个帖子|注册
  29. Person_Man写道:

    这绝对是一件好事,你仍然必须处理他们的臃肿软件。
    - d


    同意了。这是90%的原因我不会回到三星。

    没那么糟糕了。你可以禁用或卸载任何使用adb和还是在线旅行社没有根。
    背景使用而言,三星是最积极地限制应用程序,以在# 1在dontkillmyapp.com网站(我发现滑稽——应该是反对,但我把它当作广告相反)。
    42个帖子|注册
  30. bthylafh写道:
    LineageOS帮派这里装有几周前这可能的安全补丁。


    可能会导致我我的屁股和安装LineageOS下车。


    我希望我能但LG留下空间,而不是打开非欧盟引导装载器。
    1893个帖子|注册
  31. “那些利用谷歌的Android设备将自动获得补丁可能安全推出。其他设备的用户应该检查与制造商。”

    很大一部分的转向Android以来我只使用关联或像素。
    285个帖子|注册
  32. CrystalDave写道:
    bthylafh写道:
    LineageOS帮派这里装有几周前这可能的安全补丁。


    可能会导致我我的屁股和安装LineageOS下车。



    思考同样的事情。我一直打算坚持像素6到10月,到目前为止已知的基础上,但这可能是踢我需要。(现在希望与谷歌没有任何古怪Fi)


    我认为没有机会OnePlus将发布一个安全更新5 t。我不期望OS升级我的手机,但至少就好了如果他们发布的季度安全更新。去年发布的安全更新他们的Android / OxygenOS 10更新去年年底,2020年9月的安全补丁。

    我一直考虑安装LineageOS,这只是另一个推动。也许我会有时间的阵亡将士纪念日的周末。
    33个帖子|注册
  33. 所以....好消息对于那些与华为设备?

    现在他们可以根和安装游戏商店。假设有人将一个易于使用的点击根工具....
    2508个帖子|注册
  34. afidel写道:
    afidel写道:
    像素的设备目前在修补似乎所有cf减轻,这就是为什么唯一的设备我认真考虑替换像素3 5像素(这和电话屏幕,我无法想象回到没有它,没有我试过其他的一些调用应用程序,附近没有那么有效电话屏幕,我试过了)。

    我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。

    三星也承诺一年的更新谷歌承诺什么像素。

    只有在设备,一系列设备(即我其实愿意购买)只有季度安全更新(虽然我只是检查,看来A52 / A52 5 g在月度安全节奏,这是一个可能性)。


    https://security.samsungmobile.com/workScope.smsb

    很困惑为什么A52(5克)每月更新,而所有其他的a系列(包括A72,偶(5克))只有季度更新。(甚至A52(5克)可能下降的季度更新1年或2年后,三星并没有明确写出精确的规则)。


    同时,谷歌真的需要扩展像素的更新至少4年。(有点希望谷歌宣布在谷歌I / o .)
    1043个帖子|注册
  35. andocom写道:
    有趣的,经过几十年的经验的Windows / Mac / Linux利用/更新/安全一般来说,我们似乎在某种程度上,在更糟糕的情况下现在…现在我有3或4个不同的Android的味道……上帝知道何时或是否他们将修补。

    也许我只是老了,希望事情回到他们从来没有的方式,但情况与Android安全(考虑到可用的先验知识)看起来一团糟。


    不是很好如果(1)Windows也可以拥有1或4 vulns需要修补一年——而不是每年数百和(2)Android安全补丁可以作为Windows的那样简单,操作系统制造商和最终用户之间的直接,而无数的品牌需要修改为不同的模型和不同的OS口味吗?
    2338个帖子|注册
  36. TheTripod写道:
    afidel写道:
    像素的设备目前在修补似乎所有cf减轻,这就是为什么唯一的设备我认真考虑替换像素3 5像素(这和电话屏幕,我无法想象回到没有它,没有我试过其他的一些调用应用程序,附近没有那么有效电话屏幕,我试过了)。

    我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。

    三星也承诺一年的更新谷歌承诺什么像素。


    这是不同于我的经验。

    我的星系S10 +现在还没有看到一个更新在3个月。

    s10 +我可以看到最后都是补丁4.23或5.11,所有运营商。
    22283个帖子|注册
  37. 我使用S7。我想我去骨。
    873个帖子|注册
  38. afidel写道:
    像素的设备目前在修补似乎所有cf减轻,这就是为什么唯一的设备我认真考虑替换像素3 5像素(这和电话屏幕,我无法想象回到没有它,没有我试过其他的一些调用应用程序,附近没有那么有效电话屏幕,我试过了)。

    我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。

    三星也承诺一年的更新谷歌承诺什么像素。


    三星可以承诺他们喜欢的任何东西。除非高通步骤,三星的承诺不值得任何东西。高通提供的代码(作为一个不透明的blob)有漏洞就在最近,有三星能为力如果高通说”不,不支持3年来我们开始销售他们”
    3062个帖子|注册
  39. TheTripod写道:
    afidel写道:
    像素的设备目前在修补似乎所有cf减轻,这就是为什么唯一的设备我认真考虑替换像素3 5像素(这和电话屏幕,我无法想象回到没有它,没有我试过其他的一些调用应用程序,附近没有那么有效电话屏幕,我试过了)。

    我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。

    三星也承诺一年的更新谷歌承诺什么像素。


    这是不同于我的经验。

    我的星系S10 +现在还没有看到一个更新在3个月。

    你像TMobile载体或AT&T臭名昭著的阻止更新是谁?Verizon的版本,特别是金鱼草,已经更新。

    三星可能受制于高通但到目前为止他们已经被保持。
    2350个帖子|注册

你必须置评。

通道Ars Technica