Android 產品不時被揭有重大安全漏洞,去年 5 月 Google 發現 V8 JavaScript 引擎有保安漏洞並釋出更新,但直到近期才被資安研究團隊發現該漏洞可影響到全線 Android 產品,尤其是使用舊版本引擎開發的手機瀏覽器和 Webview 元件。HKCERT 據 Google 開發者平台資料估計,逾半數 Android 設備受影響,建議當設備供應商發出安全更新後,用戶應該盡快進行更新。
BadKernel 漏洞潛伏主流 Android 系統版本
V8 JavaScript 引擎是 Google 開發的開源引擎,Google 使用 V8 引擎來開發手機瀏覽器和 Webview Android 元件。中國網絡安全公司 360 手機衛士的資安研究團隊發現 V8 引擎 3.20 至 4.2 版本中存在遠端程式碼執行漏洞,將其命名為 BadKernel。
BadKernel 是源於程式碼中的 「observe_accept_invalid」誤寫作「observe_invalid_accept」。攻擊者可利用該漏洞造成 kMessages 關鍵資料外洩、執行任意程式碼。而基於 Android 4.4.4 至 5.1 版本系統使用 WebView 元件開發的手機應用程式均可能受該漏洞影響。
過半數 Android 裝置受影響 主要手機供應商未能倖免
香港電腦保安事故協調中心 (HKCERT) 根據 Google 在開發者平台的資料,估計大約有超過一半 Android 設備 (62.7%) 仍然使用受影響的版本。另據保安公司 Trustlook 統計,不少主要的手機供應商如 Asus、HTC、Huawei、LG、Samsung 和 Sony 等均受到 BadKernel 漏洞影響,詳細列表可到相關頁面瀏覽。
用戶若想了解使用中的裝置是否受影響,可在 Play Store 下載由 Trustlook 提供的 BadKernel security scanner 應用程式檢查,或在常用瀏覽器中連接到 http://www.trustlook.com/badkernel_checker 檢查瀏覽器版本是否有問題。
HKCERT 亦就漏洞提出安全建議,指當流動設備供應商發出安全更新後,用家應該盡快進行更新,保護裝置及資料安全;不要直接安裝 Android 的程式檔案 (.APK 檔案),必須在 Google Play 官方商店中下載並安裝由可信任的供應商提供的程式;不要使用公共 Wi-Fi 網絡安裝或更新程式以及使用保安程式來保護 Android 裝置,阻擋惡意或不明程式的安裝。
Source: HKCERT Trustlook CNNVD
