谷歌今天重申了让Android智能手机保持最新安全更新的重要性,基于MediaTek芯片解决方案的设备用户应提高警惕。在其2020年3月的安全公告中,它发现了一个已有一年之久的CVE-2020-0069安全漏洞。XDA-Developers本周在一份报告中写道,他们早在2019年4月就已经知晓此事。Play商店中部分滥用MediaTek-SU漏洞的App(图片来自:TrendMicro)类似于谷歌披露的漏洞在CVE-2020-0069中。XDA-Developers论坛将其称为MediaTek-SU,后缀表示恶意程序可以使用此Gainsuperuseraccess。利用MediaTek-SU安全漏洞,恶意程序无需先获得设备的root权限(处理bootloader引导加载程序),就可以获得几乎完整的功能权限,甚至可以肆意编辑修改相关内容。对于恶意软件作者来说,这无异于在Android手机上打开一个后门面板,让他们可以为所欲为地对待用户。从他被授予去中心化访问权限的那一刻起,他就可以掌握任何数据、输入以及传入或传出的内容。应用程序甚至可以在后台执行恶意代码,在用户不知情的情况下向设备发送命令。联发科很快发现了漏洞并发布了修复程序,但不幸的是,设备制造商并没有太多动力向用户推送安全更新。时隔一年,仍有不少用户暴露。好消息是,现在联发科已经与谷歌达成更紧密的合作,将此修复整合到3月份的Android标准安全更新补丁中。厂商推送OTA更新后,请及时安装部署,消除该安全隐患。
