美國加州大學的一隊資訊保安研究隊伍,發表報告指出部份Android智能電話所使用的主機板,開機時使用的Bootloader開機程式存在有保安脆弱性問題。在測試的四大主機板供應商包括Qualcomm、HiSilicon、NVIDIA以及MediaTek的主機板當中,有6項到目前為止都未公表過的脆弱性問題。
這次涉及的主機板數量太大,美國加州大學亦沒有公佈關於今次發現的太多的詳情。但他們透露這些問題是存在於智能手機開啟電源後,主機板啟動OS時執行的Bootloader程式。其中的保安脆弱性問題,簡單來說就是漏洞,可被有心人士實行任意的程式碼,或者能夠誘發手機進入DoS狀態,向網路服務進行攻擊。另外有2個脆弱性問題是可以讓攻擊者取得root權限,能夠為手機解鎖。
四間受今次報告影響的主機板生產商Qualcomm、HiSilicon、NVIDIA以及MediaTek,已經對6項脆弱性問題的其中5項進行了確認。根據保安資訊網站Threatpost報道,主機板生產商已經推出了這些漏洞的解決方案,提供更新檔下載,不過是否出現在Google月例的保安更新編排裡面,就沒有實際的公表。
資料來源:Threatpost
Leave a Comment