[情報] 聯發科晶片漏洞

看板MobileComm作者 (一機罵)時間4年前 (2020/03/03 15:17), 編輯推噓25(25016)
留言41則, 33人參與, 4年前最新討論串1/1
轉錄吳泓霖FB(john wu;magisk作者) [Android 系統安全三兩事] 今天 Google 公開了一個重大 Android 系統資安事件,在資安圈內引發不小的反響,而 且意外的跟台灣有關聯 。這件事其實在一個月前我就得知了,不過為了配合 Google 的 要求,一直等到今天才正式公開。 故事要從去年二月開始說起:XDA 論壇上的某位名叫 "diplomatic" 的網友為了改機 Ama zon 的廉價平板 Fire Tablet 系列 (使用聯發科的晶片),開始分析其系統來找漏洞,最 終被他找到某個內核 (Linux kernel) 驅動程式的軟體漏洞。不久後他便發現,這個漏洞 竟然幾乎在「所有」使用聯發科 64 位元晶片的手機都存在 (包含 2015 的型號)!但他 非但沒有通告任何廠商,反而還在 4 月的時候在 XDA 論壇上很「天真」的發表「聯發科 ARMv8 通用的奇蹟破解」一文,想說可以「造福」大量想要改機的手機玩家。 所以說,這個所謂漏洞,到底多嚴重? 簡直是災難!CVSS 指標高達 9.3/10! 簡單解釋這個漏洞給了解 OS 的人:它可以讓 userspace 的程式直接對 kernel memory 存取/寫入。這基本上就等於隨便一個惡意程式都能「完全」操控整個系統,竊取任意使 用者資料什麼的都是小 case! 聯發科表示,他們在去年 5 月其實就得知這個漏洞,並有將修正補丁發送給他們的客戶 。若聯發科的聲明屬實,那即便漏洞的補丁已經存在超過 9 個月,至今幾乎市面上所有 使用聯發科 64 位元晶片的機型都仍未將其修復,受影響的機子恐達上千萬,不容小覷! 使用聯發科晶片的手機大都是中低階機型。這些手機通常因為利潤過低,提供售後系統維 護不僅不敷成本,購買的用戶大多根本也不會在意 (俗夠大碗的手機,有什麼好嫌的?) ,所以基本上手機買來的當天就是所謂「孤兒機」,不怎麼會收到系統更新。 智慧型手機已經成為人們生活極重要的一部分,小小一台裝置基本上存有我們所有的資料 。這個事件警惕我們,有系統更新是幸福的,收到通知後最好盡快升級!還有,如果經濟 許可的話,千萬不要貪小便宜去買廉價手機! 。。。。。。。 P.S. 為什麼最後會牽扯上 Google?為何被要求等到 3 月才能公開此消息?這就得說明 Google 對 Android 系統的資安政策,不過因篇幅關係這裡就省略了。欲知後事如何,且 待下回分解 —————————— 底下留言補充 P.S.S. 這個是 XDA 為此次事件做的超詳細報導 (此文作者有跟我請教過),若想知道更 多細節的 (或是等不及我下回更新 XDD),可以做直接參考 https://www.xda-developers.com/mediatek-su-rootkit-exploit/ —————————— 去年5月就知道漏洞 距離現在幾乎快一年了 低階安卓手機用戶的個資真easy -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.223.8.159 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1583219859.A.1FF.html
03/03 15:18, 4年前 , 1F
沒差 反正聯發科員工還是爽賺
03/03 15:18, 1F
03/03 15:23, 4年前 , 2F
還好啦 隔壁牙膏廠還不是活的好好的
03/03 15:23, 2F
03/03 15:26, 4年前 , 3F
intel出那包都還是活得好好的
03/03 15:26, 3F
03/03 15:29, 4年前 , 4F
谷歌資安團隊急著公佈iOS 但自己的壓下來蓋牌沒事ㄦ
03/03 15:29, 4F
03/03 15:31, 4年前 , 5F
就算聯發科修正漏洞 手機廠商裝死也沒屁用
03/03 15:31, 5F
03/03 15:34, 4年前 , 6F
Intel、Qualcomm也都出包過...
03/03 15:34, 6F
03/03 15:38, 4年前 , 7F
哭塔怎出現了 前面的文等你回啊
03/03 15:38, 7F
03/03 15:39, 4年前 , 8F
#1UNQzBHw 怕你漏看
03/03 15:39, 8F
03/03 15:39, 4年前 , 9F
反正我也不考慮發哥的機子
03/03 15:39, 9F
03/03 15:42, 4年前 , 10F
可以空發哥了 (這不是股票板)
03/03 15:42, 10F
03/03 15:42, 4年前 , 11F
果然還是要買____
03/03 15:42, 11F
03/03 15:51, 4年前 , 12F
還好我用Pixel
03/03 15:51, 12F
03/03 15:59, 4年前 , 13F
疑 kbo出現一位了 可是你應該去上面那邊護主啊
03/03 15:59, 13F
03/03 16:02, 4年前 , 14F
我有P10的XA1耶~
03/03 16:02, 14F
03/03 16:05, 4年前 , 15F
問題其實在於手機廠商很少對這種低階機發送更新修補
03/03 16:05, 15F
03/03 16:06, 4年前 , 16F
即使聯發科很早就發送修補更新給手機廠也沒什麼用
03/03 16:06, 16F
03/03 16:11, 4年前 , 17F
紅米note8 pro:
03/03 16:11, 17F
03/03 16:18, 4年前 , 18F
資工系教授:現成的研究所考題
03/03 16:18, 18F
03/03 16:24, 4年前 , 19F
教授根本懶的自己出題吧 從恐龍本或歷屆考題翻一翻
03/03 16:24, 19F
03/03 16:24, 4年前 , 20F
放上去就好了
03/03 16:24, 20F
03/03 16:48, 4年前 , 21F
記得2015年底資安公司發佈安卓早期用滑動解鎖的指
03/03 16:48, 21F
03/03 16:48, 4年前 , 22F
紋辨識bug 那些手機廠也是裝死到底
03/03 16:48, 22F
03/03 17:10, 4年前 , 23F
john wu提醒:請勿購買垃圾廉價機 感謝中國垃圾
03/03 17:10, 23F
03/03 17:10, 4年前 , 24F
以後進不了台灣
03/03 17:10, 24F
03/03 17:18, 4年前 , 25F
可是這算是台灣垃圾嗎Orz
03/03 17:18, 25F
03/03 17:23, 4年前 , 26F
聯發科補bug了阿 是垃圾廠不更新 這是台灣垃圾的話
03/03 17:23, 26F
03/03 17:23, 4年前 , 27F
intel前陣子CPU一堆bug 是不是也要說是美國垃圾www
03/03 17:23, 27F
03/03 17:32, 4年前 , 28F
廠商不更新還怪發哥?
03/03 17:32, 28F
03/03 17:41, 4年前 , 29F
同理Intel = 美國垃圾
03/03 17:41, 29F
03/03 18:15, 4年前 , 30F
Intel=聯發科
03/03 18:15, 30F
03/03 18:48, 4年前 , 31F
INTEL是有溫度的企業
03/03 18:48, 31F
03/03 19:11, 4年前 , 32F
發哥 意外嗎
03/03 19:11, 32F
03/03 19:42, 4年前 , 33F
發哥機安卓版本更新都被放生
03/03 19:42, 33F
03/03 19:51, 4年前 , 34F
沒溫度的冷門晶片
03/03 19:51, 34F
03/03 20:27, 4年前 , 35F
到底空了幾張,到處發一樣的文
03/03 20:27, 35F
03/03 21:30, 4年前 , 36F
幫高調
03/03 21:30, 36F
03/03 22:05, 4年前 , 37F
拿這個酸MTK是在哈囉?
03/03 22:05, 37F
03/03 22:05, 4年前 , 38F
MTK都修了,手機廠不修干MTK屁事。
03/03 22:05, 38F
03/03 23:35, 4年前 , 39F
股價上看400
03/03 23:35, 39F
03/04 05:40, 4年前 , 40F
反正大多數MTK手機不會是有系統更新的
03/04 05:40, 40F
03/04 22:51, 4年前 , 41F
htc desire買好買滿,一人一機救救makes
03/04 22:51, 41F
更多 itgma 的文章
文章代碼(AID): #1UNWIJ7_ (MobileComm)