Google在今年1月的Nexus安全公告中修复了名为CVE-2015-6639Android设备的信任区(TrustZone)提权漏洞,其影响到六成采用了高通安全平台的Android设备。四个月后,一名安全人员解释了这个“高通安全执行环境”(QSEE)漏洞是如何被用来攻破Android设备的。Android TrustZone是系统内核中的一个独立于内核中其它部分工作的特殊部分,负责处理最重要和敏感的操作(比如数据加密)。
安全研究人员Gal Beniamini在高通定制实现的TrustZone内核中发现了该漏洞,其被用于搭载了高通芯片的Android智能机上。
Beniamini表示,其本身是“无害”的,但如果攻击者将它与另一个漏洞(CVE-2015-6639)“串联”起来,就可以提取到高通TrustZone的权限。
在这之后,任何Android媒体服务组件都可以被它所利用。(所幸的是,Google已在Android N中拆分了mediaserver,以消除Stagefright高危漏洞的影响)
攻击者只需精心打造一个包含了上述俩漏洞的应用,然后诱骗用户去安装它。得逞之后,即可完全控制受害设备。
根据移动安全企业Duo从50万Android手机上收集到的遥测数据,当前采用了高通芯片的Android设备占到了六成,它们运行着受影响的Android版本。
即使Google已经发布了安全补丁,设备也可以通过升级系统版本的方式完全避免,但漏洞的影响仍可能持续很长一段时间。
Google在今年1月时写到:“因其可永久攻破本地设备,该问题被标记为‘高危’(Critical)。换言之,受影响的设备要重刷操作系统才能修复”。
为确保安全,我们在此建议大家积极采用反病毒解决方案,或仅安装声誉较高、可信赖的应用程序。
(责任编辑:安博涛)
