谷歌发布安卓高危漏洞 黑客可完全控制至少18款手机

　　北京时间10月5日晚间消息，据国外媒体报道，谷歌“Project Zero”研究小组的一名成员日前表示，攻击者正在利用谷歌Android移动操作系统中的“零日漏洞”进行攻击，该漏洞可以让他们完全控制至少18种不同型号的手机，包括四个型号的Pixel手机。

　　“Project Zero”研究小组成员麦迪·斯通(Maddie Stone)在一篇文章中称，有证据表明该漏洞正被利用，不是被NSO集团利用，就是它的一个客户。对此，NSO集团已给予否认，称“该漏洞被利用与NSO无关”。

　　据悉，要利用该漏洞，只需很少或者根本无需对手机进行自定义。确切而言，可以通过两种方式利用该漏洞：1)当目标手机安装一个不受信任的应用程序时;2)将该漏洞与Chrome浏览器的一个漏洞相结合，从而发动在线攻击。

　　斯通称：“该漏洞属于一个本地权限提升漏洞，允许对易受攻击的设备进行完全控制。”受该漏洞影响的手机至少包括下列型号产品：

　　Pixel 1

　　Pixel 1 XL

　　Pixel 2

　　Pixel 2 XL

　　华为P20

　　小米红米5A

　　小米红米Note 5

　　小米A1

　　Oppo A3

　　Moto Z3

　　Oreo LG phones

　　三星S7

　　三星S8

　　三星S9

　　对此，谷歌Android团队的一名成员表示，该漏洞将在10月份的Android安全更新中得到修补，该更新可能会在未来几天内发布。另外，谷歌Pixel 3和Pixel 3a机型不受影响。

　　“Project Zero”团队另一名成员蒂姆·威利斯(Tim Willis)引用Android团队成员的话称：“这是一个‘高危漏洞’(high severity)。”

　　谷歌代表在一封电子邮件中写道：“Pixel 3和3a设备不容易受到这个问题的影响，而Pixel 1和Pixel 2设备很快将受到10月份安全更新的保护，该更新将在未来几天内发布。”

　　据斯通称，她从谷歌“威胁分析小组”收到的信息表明，该漏洞“据称被NSO集团使用或出售”，该集团是一家向各种政府实体出售漏洞和间谍软件的开发商。

　　但总部位于以色列的NSO集团代表随后表示：“NSO没有出售，也永远不会出售安全漏洞。该漏洞的利用与NSO无关，我们的工作重点是，开发那些旨在帮助授权情报和执法机构拯救生命的产品。”