未知的黑客已经利用四个Android漏洞,允许恶意代码的执行,可以完全控制设备,谷歌周三警告。
所有四个的漏洞两周前披露在谷歌的Android安全公告。谷歌发布了安全更新设备制造商,然后对用户负责分发补丁。
谷歌5月3日公告最初没有报告任何的约50名漏洞覆盖正在积极开发。周三,谷歌更新咨询说的“迹象”,有四个漏洞”可能受到限制,有针对性的开发。”玛迪斯通,谷歌的Project Zero利用研究小组的一员,消除了歧义。她在Twitter上宣布“4 vulns被利用在野外“零日。
Android有5月安全更新指出,4 vulns在野外被利用。
-玛迪斯通(@maddiestone)2021年5月19日,
cve高通GPU: cve - 2021 - 1905 - 2021 - 1906
手臂马里GPU: cve cve - 2021 - 28663 - 2021 - 28664https://t.co/mT8vE2Us74
完全控制
成功利用的漏洞”将完全控制受害者的移动终端,“Asaf法勒,安全公司Zimperium战略项目的副总裁,在一封电子邮件中说。“从提升特权超出可用默认执行代码在当前进程的现有沙箱之外,该设备将被完全破坏,也没有数据是安全的。”
到目前为止,已经有四个Android零日漏洞透露,今年与2020年的相比,从Zimperium数据显示。
两个的漏洞是高通Snapdragon处理器,这力量大多数Android设备在美国和海外大量的手机。cve - 2021 - 1905第一个漏洞是跟踪,是一个内存泄露的缺陷,允许攻击者与自由根特权执行恶意代码。脆弱性划分为严重,评级的7.8分(满分10。
其他的弱点,cve - 2021 - 1906,是一个逻辑缺陷,可能导致失败在分配新GPU内存地址。等级是5.5。频繁,黑客链两个或两个以上的利用起来,绕过安全保护。可能是这样两个金鱼草的缺陷。
的其他两个漏洞受到攻击位于司机使用手臂的图形处理器。cve - 2021 - 28663和cve - 2021 - 28664也是内存损坏缺陷允许攻击者获得根脆弱的设备上访问。
从谷歌没有可操作的建议
没有其他的细节在野外的攻击。谷歌的代表没有回复邮件询问用户如何判断他们的目标。
所需的技能利用的漏洞导致一些研究人员推测,nation-state-backed黑客的攻击可能的工作。
“这个移动攻击向量的复杂性不是闻所未闻,但外部攻击者的能力与初级或者中级的知识移动端点黑客,“法勒说。“任何攻击者利用这个漏洞很可能这样做作为一个更大的打击一个人的一部分,企业或政府窃取重要的目标和私人信息。”
还不清楚有人会如何利用漏洞。攻击者可以发送恶意短信或诱骗目标安装恶意程序或访问恶意网站。
从谷歌没有更多可操作的信息,Android用户提供有用的建议是不可能的,我们只能说他们应该确保所有更新已经安装。那些使用Google的Android设备,将自动获得补丁在5月安全推出。其他设备的用户应该检查与制造商。
72年读者评论
,这可能无法适用于特定于硬件的设备驱动程序漏洞,但如果一个漏洞存在于某些版本的Android的所有实例,那么它应该在所有这些patchable实例。同样,如果相关的缺陷是一个通用的硬件组件,像高通Snapdragon SoC,应该有可能发布一个补丁,适用于使用该组件的所有的设备。
在这一点上,谷歌依赖于oem厂商及时推出安全补丁,但oem更加依赖于Android。如果谷歌Android重组,这样用户可以直接下载补丁,或者更好的是——所以,谷歌可以直接向用户推送补丁,我看不到oem厂商从Android转向Tizen或WebOS。我也不能看到oem厂商说,“我们坚持一个旧版本的Android手机将更不安全!”
我知道谷歌一直朝着这个方向在架构上,但他们需要移动得更远更快。
最后一次编辑RoninX在2021年5月19日结婚,下午4:12
有人做了回顾漏洞,声称“没有证据表明它已经利用在野外”以及如何有效的主张是什么?
我们应该相信多少供应商的寻找证据?他们是如何严格他们的方法是搜索和效果如何?脆弱性将修补无论如何,所以它有时让我想知道这些语句的公关和真诚,善意详尽的搜索。
现在,我谨慎怀疑当一个供应商说,他们找不到证据证明我希望有人能让我直接在下面的评论中。
不过,如果你是感兴趣的任何人任何相对富裕的国家,有点毛骨悚然阅读这样的文章。待修补,人。
我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。
三星也承诺一年的更新谷歌承诺什么像素。
我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。
三星也承诺一年的更新谷歌承诺什么像素。
只有在设备,一系列设备(即我其实愿意购买)只有季度安全更新(虽然我只是检查,看来A52 / A52 5 g在月度安全节奏,这是一个可能性)。
我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。
三星也承诺一年的更新谷歌承诺什么像素。
这绝对是一件好事,你仍然必须处理他们的臃肿软件。
- d
你忘记了/ s。
同上或等待像素6。然后我的旧电话是我家族的学习平台。
可能会导致我我的屁股和安装LineageOS下车。
你期待更好的摩托罗拉?
可能会导致我我的屁股和安装LineageOS下车。
思考同样的事情。我一直打算坚持像素6到10月,到目前为止已知的基础上,但这可能是踢我需要。(现在希望与谷歌没有任何古怪Fi)
血统OS Z3玩。
我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。
三星也承诺一年的更新谷歌承诺什么像素。
这绝对是一件好事,你仍然必须处理他们的臃肿软件。
- d
同意了。这是90%的原因我不会回到三星。
在这种情况下,我不会这么大胆假设LineageOS是安全的。
补丁级别只占代表平台变化——这些变化的平台。
——两个解析公共CAF内核变化有关。
——根据手臂,另两个vulns在马里内核GPU司机,他们显然已经解决了问题的两个三个系列GPU源滴(没有引用离散变化)。
在所有情况下,它需要每个人维护人员做必要的。
/ /项目董事之一
我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。
三星也承诺一年的更新谷歌承诺什么像素。
这是不同于我的经验。
我的星系S10 +现在还没有看到一个更新在3个月。
显然不是在利用所需的复杂性,过去有一些相当低挂水果,但至少能够保证自己似乎更直接。你会读到它在ARS或,立即运行windows更新,也许从女士手动下载补丁或你的操作系统提供商。
现在我有3或4个不同的Android口味(实际上甚至可能更多考虑Chromecast &智能电视,不确定他们数)在众议院,上帝知道何时或是否他们将修补。
也许我只是老了,希望事情回到他们从来没有的方式,但情况与Android安全(考虑到可用的先验知识)看起来一团糟。
就在前几天,我的八国集团电力(Verizon就其价值而言)Android 11……2021年2月补丁。我嫉妒你的好趋势。
这绝对是一件好事,你仍然必须处理他们的臃肿软件。
- d
同意了。这是90%的原因我不会回到三星。
没那么糟糕了。你可以禁用或卸载任何使用adb和还是在线旅行社没有根。
背景使用而言,三星是最积极地限制应用程序,以在# 1在dontkillmyapp.com网站(我发现滑稽——应该是反对,但我把它当作广告相反)。
可能会导致我我的屁股和安装LineageOS下车。
我希望我能但LG留下空间,而不是打开非欧盟引导装载器。
很大一部分的转向Android以来我只使用关联或像素。
可能会导致我我的屁股和安装LineageOS下车。
思考同样的事情。我一直打算坚持像素6到10月,到目前为止已知的基础上,但这可能是踢我需要。(现在希望与谷歌没有任何古怪Fi)
我认为没有机会OnePlus将发布一个安全更新5 t。我不期望OS升级我的手机,但至少就好了如果他们发布的季度安全更新。去年发布的安全更新他们的Android / OxygenOS 10更新去年年底,2020年9月的安全补丁。
我一直考虑安装LineageOS,这只是另一个推动。也许我会有时间的阵亡将士纪念日的周末。
现在他们可以根和安装游戏商店。假设有人将一个易于使用的点击根工具....
我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。
三星也承诺一年的更新谷歌承诺什么像素。
只有在设备,一系列设备(即我其实愿意购买)只有季度安全更新(虽然我只是检查,看来A52 / A52 5 g在月度安全节奏,这是一个可能性)。
https://security.samsungmobile.com/workScope.smsb
很困惑为什么A52(5克)每月更新,而所有其他的a系列(包括A72,偶(5克))只有季度更新。(甚至A52(5克)可能下降的季度更新1年或2年后,三星并没有明确写出精确的规则)。
同时,谷歌真的需要扩展像素的更新至少4年。(有点希望谷歌宣布在谷歌I / o .)
也许我只是老了,希望事情回到他们从来没有的方式,但情况与Android安全(考虑到可用的先验知识)看起来一团糟。
不是很好如果(1)Windows也可以拥有1或4 vulns需要修补一年——而不是每年数百和(2)Android安全补丁可以作为Windows的那样简单,操作系统制造商和最终用户之间的直接,而无数的品牌需要修改为不同的模型和不同的OS口味吗?
我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。
三星也承诺一年的更新谷歌承诺什么像素。
这是不同于我的经验。
我的星系S10 +现在还没有看到一个更新在3个月。
s10 +我可以看到最后都是补丁4.23或5.11,所有运营商。
我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。
三星也承诺一年的更新谷歌承诺什么像素。
三星可以承诺他们喜欢的任何东西。除非高通步骤,三星的承诺不值得任何东西。高通提供的代码(作为一个不透明的blob)有漏洞就在最近,有三星能为力如果高通说”不,不支持3年来我们开始销售他们”
我并不是一个狂热的三星,但他们已经得到更新速度甚至快于像素在过去几年。
三星也承诺一年的更新谷歌承诺什么像素。
这是不同于我的经验。
我的星系S10 +现在还没有看到一个更新在3个月。
你像TMobile载体或AT&T臭名昭著的阻止更新是谁?Verizon的版本,特别是金鱼草,已经更新。
三星可能受制于高通但到目前为止他们已经被保持。
你必须登录或创建一个帐户置评。