黑客只需知道你的电话号码：数百万安卓手机面临“芯漏洞”威胁





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

美创用户专访 | 精细化管理：医疗行业数据分类分级的策略与实践

2025-01-10

容灾演练双月报｜美创助力某特大型通信基础设施央企顺利完成多个核心系统异地容灾演练

2025-01-10

国家级｜美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》

2024-12-20

全球数据跨境流动合作倡议

2024-11-22

FortiGuard Labs发布报告：网络威胁日渐自动化和迅捷

2025-05-23

生成式AI安全防护：数据泄露风险的缓解策略

2025-05-22

智读政策 |《中国人民银行业务领域数据安全管理办法》解读-金融数据治理进入“强监管时代”

2025-05-21

浅谈大模型在网络安全中的应用

2025-05-20

2025年网络安全等级保护工作相关问题解读

2025-05-19

黑客只需知道你的电话号码：数百万安卓手机面临“芯漏洞”威胁

发布时间：2023-03-23 阅读次数： 444 次

在上周的一篇博客文章中，谷歌ProjectZero安全研究人员透露已经向三星报告了在其Exynos芯片组中发现的多达18个漏洞，其中包含四个严重漏洞，这些存在漏洞的芯片组用于三星、Vivo和Google的多款手机型号。受影响的手机型号包括三星Galaxy S22、M33、M13、M12、A71、A53、Vivo S16、S15、S6、X70、X60和X30，以及Google的Pixel 6和Pixel 7系列手机。

安卓手机用户面临“零点击”攻击

据Project Zero威胁研究员Tim Willis透露，三星Exynos芯片组中的四个严重漏洞可被攻击者利用发起零点击远程攻击，攻击者只需要知道受害者的手机号码就可远程发起“零点击”攻击，入侵并接管手机，整个过程无需用户交互。

“Project Zero进行的测试证实，这四个漏洞（CVE-2023-24033、CVE-2023-26496、CVE-2023-26497和CVE-2023-26498）允许攻击者在基带级别远程入侵手机，”Willis说：“只需简单的研究和开发，熟练的攻击者将能够快速开发一个操作漏洞，以静默和远程的方式入侵存在漏洞的设备。”

安卓补丁分发存在巨大延迟

安卓手机厂商开发和推送漏洞补丁到最终用户手机的速度历来迟缓。因此，受此次三星芯片组漏洞影响的手机用户可能需要会等待很长时间。

去年11月，Project Zero研究人员曾发布报告称安卓设备补丁从开发出来到分发到用户手机存在巨大延迟。例如，谷歌去年6月和7月向ARM报告了ARM Mali GPU驱动程序中发现的几个漏洞。然而，三个多月后的11月，当谷歌测试受影响的设备是否存在漏洞时，发现每台设备的问题依然存在。

Approov首席执行官Ted Miracco指出：很多安卓用户甚至不知道自己的手机存在如此严重的漏洞。更糟糕的是，像Project Zero在三星芯片组中发现的漏洞不仅存在于安卓生态系统中，还存在于iOS生态系统以及任何涉及复杂硬件和软件的复杂技术供应链中。挑战在于如何缩短从检测缺陷到在所有设备上部署解决方案的时间。

由于不同安卓手机厂商的漏洞缓解和补丁更新能力有着巨大差异，Miracco建议企业安全部门要求自带设备（BYOD）工作的用户必须使用经批准的，有着快速部署补丁记录的供应商的设备。

本文来自黑白之道，如有侵权联系删除

上一条：初期投入29亿！美国国家网络防御体系将切换主防系统
下一条：FBI：去年至少860个关键基础设施遭勒索软件入侵