谷歌项目零研究小组的一名成员周四晚表示，攻击者正在利用谷歌的Android移动操作系统的一个零日漏洞，沐鸣开户测速该漏洞可以让他们完全控制至少18种不同的手机型号，包括4种不同的像素型号。

 

Project Zero的成员Maddie Stone在一篇文章中说，有证据表明，这个漏洞正在被积极利用，无论是被利用开发者NSO集团还是它的一个客户。与此同时，NSO的代表表示，“这次攻击与NSO无关。”利用需要很少或没有定制完全根脆弱的电话。该漏洞可以通过两种方式被利用:(1)当目标安装了一个不可信的应用程序或(2)进行在线攻击时，将该漏洞与针对Chrome浏览器用于呈现内容的代码中的漏洞的第二次漏洞相结合。

 

斯通写道:“这个漏洞是一个本地特权升级漏洞，允许对一个脆弱的设备进行全面的攻击。”“如果这个漏洞是通过网络发布的，它只需要与一个渲染器漏洞配对，因为这个漏洞可以通过沙箱访问。”

 

易受攻击手机的“非详尽清单”包括:

 

像素1

 

像素1 XL

 

像素2

 

像素2 XL

 

华为P20

 

小米红米5

 

小米红米注5

 

小米A1

 

朋友A3

 

Moto Z3

 

奥利奥LG手机

 

三星S7

 

三星S8

 

三星S9

 

高严重性

 

谷歌的Android团队的一名成员在同一个Project Zero线程中说，无论如何，这个漏洞将会在10月份的Android安全更新中被修补到像素设备上。目前还不清楚其他设备的修复时间表。Pixel 3和Pixel 3a设备不受影响。

 

Project Zero的另一名成员蒂姆·威利斯(Tim Willis)引用Android团队成员的话写道:“这个问题在Android上被列为高度严重的问题，它本身就需要安装一个恶意应用程序，以便进行潜在的利用。”“任何其他载体，例如通过web浏览器，都需要使用附加的漏洞进行链接。”

 

谷歌的代表在一封电子邮件中写道:“Pixel 3和3a设备不容易受到这个问题的影响，而Pixel 1和Pixel 2设备将在10月份的安全发布中受到保护，该版本将在未来几天发布。此外，已经向合作伙伴提供了一个补丁，以确保Android生态系统不受这个问题的影响。”

 

该漏洞最初出现在Linux内核中，在2018年初的版本4.14中打了补丁，没有使用跟踪CVE。这个修复被整合到Android内核的3.18、4.4和4.9版本中。由于帖子中没有解释的原因，这些补丁从未进入Android安全更新。这就解释了为什么早期的像素模型容易受到攻击，而后期的像素模型却不会。该缺陷现在被追踪为CVE-2019-2215。

 

还记得太阳吗?

 

斯通说，她从谷歌的威胁分析小组收到的信息显示，沐鸣开户Q554258这个漏洞“据称被NSO集团使用或出售”，NSO集团是一个漏洞和间谍软件的开发商，它向多个政府实体出售。

 

在这篇文章发布8小时后，NSO的代表在一封电子邮件中写道:“NSO没有、也永远不会出售漏洞或漏洞。这个漏洞与NSO无关;我们的工作重点是开发旨在帮助获得许可的情报和执法机构拯救生命的产品。”

 

以色列的NSO公司在2016年和2017年发现了一款名为Pegasus的高级移动间谍软件，引起了广泛关注。它可以破解或根植于iOS和Android手机，因此它可以搜索私人信息，激活麦克风和摄像头，并收集各种敏感信息。多伦多大学公民实验室的研究人员确定，飞马座的iOS版本针对的是阿拉伯联合酋长国的一名政治异见人士。