Android 系統曝嚴重安全漏洞,使用者須等待更新
Google 在 12 月 Android 安全公告中說明,Android 系統有個「嚴重的安全漏洞」,遠端駭客可以藉由這個安全漏洞在手機上執行程式碼。Google 已向 Android 手機製造商提供修補程式以修復安全漏洞,但各製造商向使用者發送修補程式的時程不一。
這個漏洞在 NATIONAL VULNERABILITY DATABASE(國家漏洞資料庫,簡稱 NVD)中的編號為 CVE-2023-40088。根據 NVD 的報告,當 Android 手機嘗試執行 com_android_bluetooth_btservice_AdapterService.cpp 的callback_thread_event時,就會出問題。此操作可能導致使記憶體因釋放後使用的漏洞造成損壞。
基本上,此問題會造成 Android手機在系統記憶體釋放後,未經授權存取com_android_bluetooth_btservice_AdapterService.cpp ,讓遠端駭客有機可趁,在 Android 手機上無需與使用者互動即可執行程式碼。不過,攻擊者需透過 Wi-Fi、藍牙或 NFC 無線連線才能遠端執行程式碼。
Google 已透過 Android Open Source Project 發送 Android 11、12、12L、13 及最新版本 Android 14 的修復程式,意味著這些版本的 Android 手機都會受此漏洞影響。Google 沒有在資安通報中透露是否已有駭客利用該漏洞發動攻擊,但此為「零點擊漏洞」(Remote Code Execution,簡稱為 RCE),意味攻擊者不需要採取任何行動,即可從遠端執行任意程式碼,因此列為「嚴重等級」風險,須緊急修復。
雖然 Google 已提供修補程式,不過由於 Android 生態系的複雜性,各品牌廠商未必會在第一時間推出包含最新資安更新的韌體更新服務。因此,Android 系統裝置的使用者可能要花一段時間等待;當收到手機廠商推送的「12月份安全更新」,務必立即更新。