黑客只需知道你的電話號碼：數百萬安卓手機面臨“芯漏洞”威脅

??關注后回復 “進群” ，拉你進程序員交流群??

三星Exynos芯片組漏洞事件持續發酵，由于至今仍未發布補丁，數百萬安卓手機用戶面臨“零點擊”遠程代碼執行攻擊風險。專家建議受影響設備的用戶暫時關閉Wi-Fi和Voice-over-LTE。

在上周的一篇博客文章中，谷歌ProjectZero安全研究人員透露已經向三星報告了在其Exynos芯片組中發現的多達18個漏洞，其中包含四個嚴重漏洞，這些存在漏洞的芯片組用于三星、Vivo和Google的多款手機型號。受影響的手機型號包括三星Galaxy S22、M33、M13、M12、A71、A53、Vivo S16、S15、S6、X70、X60和X30，以及Google的Pixel 6和Pixel 7系列手機。

安卓手機用戶面臨“零點擊”攻擊

據Project Zero威脅研究員Tim Willis透露，三星Exynos芯片組中的四個嚴重漏洞可被攻擊者利用發起零點擊遠程攻擊，攻擊者只需要知道受害者的手機號碼就可遠程發起“零點擊”攻擊，入侵并接管手機，整個過程無需用戶交互。

“Project Zero進行的測試證實，這四個漏洞（CVE-2023-24033、CVE-2023-26496、CVE-2023-26497和CVE-2023-26498）允許攻擊者在基帶級別遠程入侵手機，”Willis說：“只需簡單的研究和開發，熟練的攻擊者將能夠快速開發一個操作漏洞，以靜默和遠程的方式入侵存在漏洞的設備。”

安卓補丁分發存在巨大延遲

安卓手機廠商開發和推送漏洞補丁到最終用戶手機的速度歷來遲緩。因此，受此次三星芯片組漏洞影響的手機用戶可能需要會等待很長時間。

去年11月，Project Zero研究人員曾發布報告稱安卓設備補丁從開發出來到分發到用戶手機存在巨大延遲。例如，谷歌去年6月和7月向ARM報告了ARM Mali GPU驅動程序中發現的幾個漏洞。然而，三個多月后的11月，當谷歌測試受影響的設備是否存在漏洞時，發現每臺設備的問題依然存在。

Approov首席執行官Ted Miracco指出：很多安卓用戶甚至不知道自己的手機存在如此嚴重的漏洞。更糟糕的是，像Project Zero在三星芯片組中發現的漏洞不僅存在于安卓生態系統中，還存在于iOS生態系統以及任何涉及復雜硬件和軟件的復雜技術供應鏈中。挑戰在于如何縮短從檢測缺陷到在所有設備上部署解決方案的時間。

由于不同安卓手機廠商的漏洞緩解和補丁更新能力有著巨大差異，Miracco建議企業安全部門要求自帶設備（BYOD）工作的用戶必須使用經批準的，有著快速部署補丁記錄的供應商的設備。