谷歌今日重申了讓 Android 智能機(jī)保持最新的安全更新的重要性，使用基于聯(lián)發(fā)科芯片方案的設(shè)備用戶更應(yīng)提高警惕。在 2020 年 3 月的安全公告中，其指出了一個(gè)存在長(zhǎng)達(dá)一年的 CVE-2020-0069 安全漏洞。XDA-Developers 在本周的一份報(bào)告中寫(xiě)到，早在 2019 年 4 月，他們就已經(jīng)知曉了此事。

Play 商店中濫用 MediaTek-SU 漏洞的部分 App（圖自：TrendMicro）

與谷歌在 CVE-2020-0069 中披露的漏洞類似，XDA-Developers 論壇將之稱作 MediaTek-SU，后綴表明惡意程序可借此獲得超級(jí)用戶的訪問(wèn)權(quán)限。

利用 MediaTek-SU 安全漏洞，惡意程序無(wú)需先獲得設(shè)備的 root 權(quán)限（處理 bootloader 引導(dǎo)程序），即可獲得幾乎完整的功能權(quán)限，甚至肆意編輯和修改相關(guān)內(nèi)容。

對(duì)惡意軟件作者來(lái)說(shuō)，此舉無(wú)異于打開(kāi)了 Android手機(jī)上的后門(mén)面板，使之可以對(duì)用戶為所欲為。

從獲得放權(quán)訪問(wèn)權(quán)限的那一刻起，他就能夠染指任何數(shù)據(jù)、輸入和傳入傳出的內(nèi)容。應(yīng)用程序甚至可以在后臺(tái)執(zhí)行惡意代碼，在用戶不知情的狀況下將命令發(fā)送到設(shè)備上。

聯(lián)發(fā)科很快發(fā)現(xiàn)了該漏洞并發(fā)布了修復(fù)程序，但遺憾的是，設(shè)備制造商并沒(méi)有太大的動(dòng)力去向用戶推送安全更新。經(jīng)過(guò)一年的時(shí)間，仍有許多用戶暴露于風(fēng)險(xiǎn)之中。

好消息是，現(xiàn)在聯(lián)發(fā)科與谷歌達(dá)成了更緊密的合作，以期將這一修復(fù)整合到 3 月份的 Android 標(biāo)準(zhǔn)安全更新補(bǔ)丁中。在廠商推送 OTA 更新后，還請(qǐng)及時(shí)安裝部署，以消除這一安全隱患。