聯發科晶片漏洞 - 工程師
By Sarah
at 2020-03-03T15:11
at 2020-03-03T15:11
Table of Contents
轉錄吳泓霖FB(john wu;magisk作者)
[Android 系統安全三兩事]
今天 Google 公開了一個重大 Android 系統資安事件,在資安圈內引發不小的反響,而
且意外的跟台灣有關聯 。這件事其實在一個月前我就得知了,不過為了配合 Google
的要求,一直等到今天才正式公開。
故事要從去年二月開始說起:XDA 論壇上的某位名叫 "diplomatic" 的網友為了改機 Ama
zon 的廉價平板 Fire Tablet 系列 (使用聯發科的晶片),開始分析其系統來找漏洞,最
終被他找到某個內核 (Linux kernel) 驅動程式的軟體漏洞。不久後他便發現,這個漏洞
竟然幾乎在「所有」使用聯發科 64 位元晶片的手機都存在 (包含 2015 的型號)!但他
非但沒有通告任何廠商,反而還在 4 月的時候在 XDA 論壇上很「天真」的發表「聯發科
ARMv8 通用的奇蹟破解」一文,想說可以「造福」大量想要改機的手機玩家。
所以說,這個所謂漏洞,到底多嚴重?
簡直是災難!CVSS 指標高達 9.3/10!
簡單解釋這個漏洞給了解 OS 的人:它可以讓 userspace 的程式直接對 kernel memory
存取/寫入。這基本上就等於隨便一個惡意程式都能「完全」操控整個系統,竊取任意使
用者資料什麼的都是小 case!
聯發科表示,他們在去年 5 月其實就得知這個漏洞,並有將修正補丁發送給他們的客戶
。若聯發科的聲明屬實,那即便漏洞的補丁已經存在超過 9 個月,至今幾乎市面上所有
使用聯發科 64 位元晶片的機型都仍未將其修復,受影響的機子恐達上千萬,不容小覷!
使用聯發科晶片的手機大都是中低階機型。這些手機通常因為利潤過低,提供售後系統維
護不僅不敷成本,購買的用戶大多根本也不會在意 (俗夠大碗的手機,有什麼好嫌的?)
,所以基本上手機買來的當天就是所謂「孤兒機」,不怎麼會收到系統更新。
智慧型手機已經成為人們生活極重要的一部分,小小一台裝置基本上存有我們所有的資料
。這個事件警惕我們,有系統更新是幸福的,收到通知後最好盡快升級!還有,如果經濟
許可的話,千萬不要貪小便宜去買廉價手機!
。。。。。。。
P.S. 為什麼最後會牽扯上 Google?為何被要求等到 3 月才能公開此消息?這就得說明
Google 對 Android 系統的資安政策,不過因篇幅關係這裡就省略了。欲知後事如何,且
待下回分解
——————————
底下留言補充
P.S.S. 這個是 XDA 為此次事件做的超詳細報導 (此文作者有跟我請教過),若想知道更
多細節的 (或是等不及我下回更新 XDD),可以做直接參考
https://www.xda-developers.com/mediatek-su-rootkit-exploit/
——————————
前幾篇才看到發哥大手筆分紅
這消息出來電梯要向下了嗎
空軍抓緊了要準備起飛囉
--
Tags:
工程師
All Comments
By Suhail Hany
at 2020-03-05T23:04
at 2020-03-05T23:04
By Kama
at 2020-03-09T23:03
at 2020-03-09T23:03
By Bethany
at 2020-03-14T04:20
at 2020-03-14T04:20
By Daph Bay
at 2020-03-17T02:18
at 2020-03-17T02:18
By Liam
at 2020-03-17T21:58
at 2020-03-17T21:58
By Madame
at 2020-03-22T14:19
at 2020-03-22T14:19
By Liam
at 2020-03-25T23:11
at 2020-03-25T23:11
By Wallis
at 2020-03-28T13:51
at 2020-03-28T13:51
By Annie
at 2020-03-29T14:12
at 2020-03-29T14:12
By Callum
at 2020-03-31T06:04
at 2020-03-31T06:04
By Barb Cronin
at 2020-04-01T08:32
at 2020-04-01T08:32
By Caroline
at 2020-04-06T04:59
at 2020-04-06T04:59
By Lydia
at 2020-04-09T10:19
at 2020-04-09T10:19
By Susan
at 2020-04-11T14:29
at 2020-04-11T14:29
By Belly
at 2020-04-15T13:44
at 2020-04-15T13:44
By Faithe
at 2020-04-18T12:25
at 2020-04-18T12:25
By Ophelia
at 2020-04-22T13:40
at 2020-04-22T13:40
By Andy
at 2020-04-26T23:46
at 2020-04-26T23:46
By Annie
at 2020-05-01T14:56
at 2020-05-01T14:56
By Erin
at 2020-05-06T03:25
at 2020-05-06T03:25
By Audriana
at 2020-05-10T09:59
at 2020-05-10T09:59
By Ethan
at 2020-05-14T16:04
at 2020-05-14T16:04
By Dorothy
at 2020-05-16T20:49
at 2020-05-16T20:49
By Linda
at 2020-05-17T13:09
at 2020-05-17T13:09
By Belly
at 2020-05-20T17:52
at 2020-05-20T17:52
By Donna
at 2020-05-21T15:24
at 2020-05-21T15:24
By Frederic
at 2020-05-23T16:30
at 2020-05-23T16:30
By Sandy
at 2020-05-26T14:06
at 2020-05-26T14:06
By Dinah
at 2020-05-29T07:22
at 2020-05-29T07:22
By Isla
at 2020-06-02T20:17
at 2020-06-02T20:17
Related Posts
美光Offer請益(乾蝕刻)
By Caitlin
at 2020-03-03T13:17
at 2020-03-03T13:17
新鮮人OFFER請益
By Callum
at 2020-03-03T12:41
at 2020-03-03T12:41
超威「口罩國家隊」百名工程師無償支援
By Zanna
at 2020-03-03T12:05
at 2020-03-03T12:05
COVID-19疫情示警科技業積極轉向自動化與
By Vanessa
at 2020-03-03T11:58
at 2020-03-03T11:58
鴻海神秘研究院 強攻量子電腦
By Edwina
at 2020-03-03T09:21
at 2020-03-03T09:21