聯發科晶片漏洞 - 工程師

Sarah avatar
By Sarah
at 2020-03-03T15:11

Table of Contents



轉錄吳泓霖FB(john wu;magisk作者)


[Android 系統安全三兩事]

今天 Google 公開了一個重大 Android 系統資安事件,在資安圈內引發不小的反響,而
且意外的跟台灣有關聯 。這件事其實在一個月前我就得知了,不過為了配合 Google
的要求,一直等到今天才正式公開。

故事要從去年二月開始說起:XDA 論壇上的某位名叫 "diplomatic" 的網友為了改機 Ama
zon 的廉價平板 Fire Tablet 系列 (使用聯發科的晶片),開始分析其系統來找漏洞,最
終被他找到某個內核 (Linux kernel) 驅動程式的軟體漏洞。不久後他便發現,這個漏洞
竟然幾乎在「所有」使用聯發科 64 位元晶片的手機都存在 (包含 2015 的型號)!但他
非但沒有通告任何廠商,反而還在 4 月的時候在 XDA 論壇上很「天真」的發表「聯發科
ARMv8 通用的奇蹟破解」一文,想說可以「造福」大量想要改機的手機玩家。

所以說,這個所謂漏洞,到底多嚴重?

簡直是災難!CVSS 指標高達 9.3/10!

簡單解釋這個漏洞給了解 OS 的人:它可以讓 userspace 的程式直接對 kernel memory
存取/寫入。這基本上就等於隨便一個惡意程式都能「完全」操控整個系統,竊取任意使
用者資料什麼的都是小 case!

聯發科表示,他們在去年 5 月其實就得知這個漏洞,並有將修正補丁發送給他們的客戶
。若聯發科的聲明屬實,那即便漏洞的補丁已經存在超過 9 個月,至今幾乎市面上所有
使用聯發科 64 位元晶片的機型都仍未將其修復,受影響的機子恐達上千萬,不容小覷!

使用聯發科晶片的手機大都是中低階機型。這些手機通常因為利潤過低,提供售後系統維
護不僅不敷成本,購買的用戶大多根本也不會在意 (俗夠大碗的手機,有什麼好嫌的?)
,所以基本上手機買來的當天就是所謂「孤兒機」,不怎麼會收到系統更新。

智慧型手機已經成為人們生活極重要的一部分,小小一台裝置基本上存有我們所有的資料
。這個事件警惕我們,有系統更新是幸福的,收到通知後最好盡快升級!還有,如果經濟
許可的話,千萬不要貪小便宜去買廉價手機!

。。。。。。。

P.S. 為什麼最後會牽扯上 Google?為何被要求等到 3 月才能公開此消息?這就得說明
Google 對 Android 系統的資安政策,不過因篇幅關係這裡就省略了。欲知後事如何,且
待下回分解


——————————
底下留言補充

P.S.S. 這個是 XDA 為此次事件做的超詳細報導 (此文作者有跟我請教過),若想知道更
多細節的 (或是等不及我下回更新 XDD),可以做直接參考
https://www.xda-developers.com/mediatek-su-rootkit-exploit/


——————————

前幾篇才看到發哥大手筆分紅
這消息出來電梯要向下了嗎
空軍抓緊了要準備起飛囉

--

All Comments

Suhail Hany avatar
By Suhail Hany
at 2020-03-05T23:04
標題寫晶片漏洞 內文寫driver bug 搞的我好亂喔
Kama avatar
By Kama
at 2020-03-09T23:03
早就修掉了 是想帶什麼風向?
Bethany avatar
By Bethany
at 2020-03-14T04:20
樓上沒看懂嗎 孤兒機怎麼修
Daph Bay avatar
By Daph Bay
at 2020-03-17T02:18
CVE一直發 孤兒機漏洞本來就不會修正 不管廠牌
Liam avatar
By Liam
at 2020-03-17T21:58
還好吧 也給客戶解法了 要也是手機商的鍋
Madame avatar
By Madame
at 2020-03-22T14:19
電子垃圾,沒差
Liam avatar
By Liam
at 2020-03-25T23:11
這是手機廠商要發出的更新吧?蘋果越獄也是靠漏洞啊.....
Wallis avatar
By Wallis
at 2020-03-28T13:51
買安卓+MTK晶片的手機的人本來就不會注重資安,沒差啦
Annie avatar
By Annie
at 2020-03-29T14:12
周遭根本沒看過有人用發哥手機= =
Callum avatar
By Callum
at 2020-03-31T06:04
不重要 換5G手機就好了 舊的丟掉
Barb Cronin avatar
By Barb Cronin
at 2020-04-01T08:32
到底要PO幾個版
Caroline avatar
By Caroline
at 2020-04-06T04:59
誠信正直
Lydia avatar
By Lydia
at 2020-04-09T10:19
孤兒機一般指的是沒跟上android的大版本升級 安全漏洞的小
一般還是會推送 沒收到是手機廠的問題
Susan avatar
By Susan
at 2020-04-11T14:29
大手筆個頭,看看板上文章苦哈哈
Belly avatar
By Belly
at 2020-04-15T13:44
加薪大手筆沒錯啦
Faithe avatar
By Faithe
at 2020-04-18T12:25
有問題的都已經出貨惹 難不成退貨嗎
Ophelia avatar
By Ophelia
at 2020-04-22T13:40
更新driver就解決了,問題是使用mtk晶片的最終端客戶絕
大多數都是手機白癡
Andy avatar
By Andy
at 2020-04-26T23:46
誰說高價手機就不會孤兒?
Annie avatar
By Annie
at 2020-05-01T14:56
mtk出包了~私校GG設備屌大台大電機
Erin avatar
By Erin
at 2020-05-06T03:25
屌打台大電機聯發科工程師
Audriana avatar
By Audriana
at 2020-05-10T09:59
還好我都用中高階
Ethan avatar
By Ethan
at 2020-05-14T16:04
連字都打不好果然屌打的。
Dorothy avatar
By Dorothy
at 2020-05-16T20:49
覺青崩潰了...不要告訴我M裡有覺青QQ
Linda avatar
By Linda
at 2020-05-17T13:09
手機商沒有fota,賠錢結束這回合
Belly avatar
By Belly
at 2020-05-20T17:52
所以有任何人身邊有朋友受害了嗎?
Donna avatar
By Donna
at 2020-05-21T15:24
cost down大行其道
Frederic avatar
By Frederic
at 2020-05-23T16:30
這個發現漏洞的是個人才
Sandy avatar
By Sandy
at 2020-05-26T14:06
因為資料大家都想要?!
Dinah avatar
By Dinah
at 2020-05-29T07:22
不容小覷 嗯嗯嗯 然後呢 下回待續
Isla avatar
By Isla
at 2020-06-02T20:17
空單布好布滿

美光Offer請益(乾蝕刻)

Caitlin avatar
By Caitlin
at 2020-03-03T13:17
各位科技版先進好 小弟國立科大碩士畢業 3/17要報到F16/ME/DE 的乾蝕刻Equipment Engineer 若有前輩在此部門 想請教一下內部文化 由於碩士唸機械類的 對於記憶體製程這一塊不熟 是否有些東西可以先自己進修呢? 感謝各位大大了~ 地點:后里 薪資:N+5(含2400伙食津貼) ...

新鮮人OFFER請益

Callum avatar
By Callum
at 2020-03-03T12:41
代po 手機排版請見諒 at背景 112機械學/116機械碩 論文題目跟半導體無關 剛畢業當完兵新鮮人 多益900up,全英文環境應該沒問題 各地點皆需租屋 atASML 職缺:DUV 客服工程師 地點:南科 薪資:N+8 輪班:做二休三 / 做三休二,要輪日夜班 說明:對到台積十八廠(怕),工作內容跟板 ...

超威「口罩國家隊」百名工程師無償支援

Zanna avatar
By Zanna
at 2020-03-03T12:05
※ [本文轉錄自 Reewalker 信箱] 作者: moon131 (中天懸明月) 看板: Gossiping 標題: [新聞] 超威「口罩國家隊」百名工程師無償支援 換算薪破500萬!理事長笑:任務達成  時間: Tue Mar 3 10:30:10 2020 ETtoday新聞雲 2020年03 ...

COVID-19疫情示警科技業積極轉向自動化與

Vanessa avatar
By Vanessa
at 2020-03-03T11:58
COVID-19疫情示警科技業積極轉向自動化與機器人製造 http://bit.ly/39jWUPJ COVID-19疫情正給全球科技產業一個新轉型的機會,原本依賴人力的許多行業,都在重新 思考,如何強化自動化機器人在其產業運作中的角色。這對於人類來說,除了COVID-19的 挑戰之外,未來還得面對自動化 ...

鴻海神秘研究院 強攻量子電腦

Edwina avatar
By Edwina
at 2020-03-03T09:21
鴻海布局量子電腦運算首度浮上檯面,細節雖保密到家。據了解,鴻海研究院在董座劉揚 偉去年6月上任後正式啟動,並延攬台大物理特聘教授張慶瑞擔任鴻海研究院的量子電腦 項目主持人。業界估計,鴻海加速先進運算研發,每年投入至少上億元。 鴻海研究院一直相當神秘,除了研究院下設六個研究所之外,實際運作內容、組織 ...