9成安卓手机可被攻击 安卓被爆大规模通杀型严重漏洞

本篇文章984字，读完约2分钟

就在谷歌正式发布安卓9系统一个多月之后，9月20日，阿里安全潘多拉实验室再次宣布其linux系统存在一个名为“错误地带”的严重内核漏洞。如果被黑与灰的工人掌握了，就可以直接完成根授权，获得系统控制手机的最高权限。

这意味着移动电话系统的最高根权限将由黑与灰团伙控制，因此设备上的所有帐户密码和其他信息都将被窃取和操纵。市场上90%的安卓手机都存在这种隐患。我们已经完全认识到许多主流旗舰机器的根源。阿里安全潘多拉实验室(Ali Security Pandora Lab)的安全研究员段钢(Tuan Kong)表示，这种大规模杀戮式的严重漏洞已经很久没有出现在安卓平台上了。

在过去的两年里，安卓操作系统的安全级别呈指数级增长。在谷歌2018年8月发布的android 9中，针对一些守护进程和内核引入了cfi(控制流完整性)保护机制，可以直接抵抗常见的rop/jop/coop代码重用技巧。

linux内核已经被打磨了几年，普通的测试方法和肤浅的逻辑分析所能达到的安全问题已经被修复。集团控制说，但没有一个系统是完美的和牢不可破的。只有对内核了如指掌并深入分析，你才能发现问题。

他还介绍说，尽管linux内核每年都会出现一些漏洞，但大多数不会影响安卓系统。此外，很少有漏洞能够影响多个内核主线版本，而能够被root用来获得最高权限的漏洞更是凤毛麟角。

这一次，阿里安全潘多拉实验室(Ali Security Pandora Lab)早在安卓9的预览版就完成了根权限推广，并验证了对几款品牌旗舰手机的攻击的有效性。

就在两天前(9月18日)，阿里安全潘多拉实验室宣布，在苹果发布ios 12系统几个小时后，它已经实现了完美的越狱，并表示不会发布越狱程序。官员说，这只是为了安全研究，以便更好地促进整个系统的安全和生态发展。

据了解，在过去两年中，该实验室报告了数百个涵盖ios和安卓系统的安全漏洞，并得到了苹果、谷歌和华为的公开感谢。

阿里安全潘多拉实验室自成立以来，一直专注于移动安全领域，包括针对ios和android系统安全的攻击和防御技术的研究。据阿里安全潘多拉实验室负责人介绍，实验室成员已经向谷歌和linux内核社区报告了上述漏洞，并直接将最小漏洞信息同步给国内一些手机制造商，以促进修复。建议普通用户应保持系统更新，尽量避免下载和安装未知的应用程序。