Google最近警告稱,網絡犯罪應被視為國家安全威脅,而現在,又有來自Google的最新消息顯示,Android系統內部發現兩個漏洞,並正遭受「有限且有針對性的攻擊」。這類所謂的零日漏洞一向被視為高危漏洞,必須立即更新系統,以降低潛在風險。
根據3月3日發布的最新《Android安全公告》,此次被攻擊的漏洞分別為CVE-2024-43093與CVE-2024-50302。其中,CVE-2024-43093允許攻擊者訪問「Android/data」、「Android/obb」及「Android/sandbox」目錄及其子目錄。Google表示,該漏洞是透過將路徑模式匹配檢查替換為文件相等性檢查,從而繞過Android框架組件中的文件路徑過濾機制。若攻擊成功,攻擊者將獲得更高的系統權限,造成更嚴重的安全風險。
至於CVE-2024-50302,則是Linux核心中的一個「零初始化」問題,主要影響報告緩衝區(report buffer),而該緩衝區被「各種驅動程式」以不同方式使用。該漏洞可能會導致記憶體洩漏,進一步增加安全隱患。
這個Android零日漏洞是不是很熟悉?
CVE-2024-43093聽起來似曾相識,這並不奇怪,因為這已經是Google第二次修補該漏洞。早在去年11月,Google就曾針對這一漏洞發布安全補丁,當時也警告它正在遭受「有限且有針對性的攻擊」。然而,幾個月後,我們又收到了相同的警報。這是否意味著當時的修補並未徹底解決問題?Google對此仍未透露更多細節。雖然出於安全考量,一些資訊無法公開,但用戶有權了解漏洞的真正風險,這次事件顯然需要更多透明度。
而CVE-2024-50302同樣不陌生。根據國際特赦組織(Amnesty International)2月28日發布的報告,該漏洞已被用於攻擊一名塞爾維亞政治活動人士,並引發外界關注。
請立即更新您的Android設備
「Google披露CVE-2024-43093與CVE-2024-50302,再次提醒我們,手機裡隱藏著巨大的安全風險。」KnowBe4資深安全專家Javvad Malik表示:「這些漏洞影響超過十億台Android設備,顯示出及時安裝補丁的重要性。」
然而,由於Android系統的碎片化問題,漏洞修補並非易事。Malik指出:「Android設備來自數十家不同的製造商和電信運營商,因此更新過程極其複雜,導致許多設備即使補丁已經發布,仍然長時間處於安全風險之中。」更糟糕的是,許多低價Android手機仍在運行舊版作業系統,甚至無法獲得更新,使得這些設備成為網絡攻擊的高風險目標。
面對這樣的安全隱憂,用戶應立即檢查並更新Android系統,確保設備獲得最新的安全補丁,以降低潛在風險。