经过一年多的开发与测试,昨天谷歌正式面向全球发布Android 10的最终版本。
谷歌昨天发布的Android移动操作系统包含一系列安全补丁,但似乎忘记了修复一个安全漏洞。9月份Android的安全报告包括了对媒体框架中几个关键漏洞的修复以及一系列高危性漏洞,但清单里没有包含该漏洞。该漏洞存在于视频录制的Video For Linux 2(V4L2)驱动程序中。问题在于在执行操作之前没有验证对象是否存在,导致攻击者可以利用它升级内核权限,从而允许攻击者访问系统上的关键文件。
内核是具有最高权限的操作系统的一部分,恶意应用程序可以使用此级别的权限运行代码,这可能导致系统的完全受损。
由于想要利用这个漏洞需要攻击者能够进行复杂的高级攻击,这使得它对大多数黑客没有太大吸引力,但仍然有攻击者不会放过这个机会,只要这个漏洞持续存在,黑客就能够进行攻击并完全接管目标系统。攻击者为了利用这一点,已经破坏了设备,但由于权限不足而限制了操作。这一漏洞的发现应当归功于TrendMicro Research的Lance Jiang和Moony Li,他们通过“零日倡议”(ZDI)项目报告了这一漏洞,却在这次新版本中被忽略了。由于目前谷歌并没有提供修补程序,那么减轻这种风险的重任就落在用户的肩上,用户应该小心他们在安卓设备上安装的应用程序。在下载应用程序时,直接从Google Play下载已知的没有问题的应用程序,避免从第三方下载。
虽然这个漏洞忘记修复了,但Android总体来说还是相对安全的系统。此外,也有不少安全研究员指出Android是一个比iOS安全得多的平台。
就在本周,漏洞交易商Zerodium提高了对Android zero-day 收购价格,提供250万美元用于实现Android持久性的全链开发和利用。这比Apple的iOS系统高出25%。Android在零日价值上超越iPhone是一个新的转折点。这表明Android零日的需求已经显著增加,换句话说就是在某种程度上Android操作系统越来越难以远程攻击。随着每个新版本的发布,Android的安全性一直都在提高,而iOS漏洞的数量在过去几个月里一直呈上升趋势。
*本文由看雪编辑 LYA 编译自 Bleeping Computer,转载请注明来源及作者。