谷歌今日重申了讓 Android 智能機保持最新的安全更新的重要性，使用基于聯(lián)發(fā)科芯片方案的設(shè)備用戶更應提高警惕。在 2020 年 3 月的安全公告中，其指出了一個存在長達一年的 CVE-2020-0069 安全漏洞。XDA-Developers 在本周的一份報告中寫到，早在 2019 年 4 月，他們就已經(jīng)知曉了此事。

Play 商店中濫用 MediaTek-SU 漏洞的部分 App（圖自：TrendMicro）

與谷歌在 CVE-2020-0069 中披露的漏洞類似，XDA-Developers 論壇將之稱作 MediaTek-SU，后綴表明惡意程序可借此獲得超級用戶的訪問權(quán)限。

利用 MediaTek-SU 安全漏洞，惡意程序無需先獲得設(shè)備的 root 權(quán)限（處理 bootloader 引導程序），即可獲得幾乎完整的功能權(quán)限，甚至肆意編輯和修改相關(guān)內(nèi)容。

對惡意軟件作者來說，此舉無異于打開了 Android手機上的后門面板，使之可以對用戶為所欲為。

從獲得放權(quán)訪問權(quán)限的那一刻起，他就能夠染指任何數(shù)據(jù)、輸入和傳入傳出的內(nèi)容。應用程序甚至可以在后臺執(zhí)行惡意代碼，在用戶不知情的狀況下將命令發(fā)送到設(shè)備上。

聯(lián)發(fā)科很快發(fā)現(xiàn)了該漏洞并發(fā)布了修復程序，但遺憾的是，設(shè)備制造商并沒有太大的動力去向用戶推送安全更新。經(jīng)過一年的時間，仍有許多用戶暴露于風險之中。

好消息是，現(xiàn)在聯(lián)發(fā)科與谷歌達成了更緊密的合作，以期將這一修復整合到 3 月份的 Android 標準安全更新補丁中。在廠商推送 OTA 更新后，還請及時安裝部署，以消除這一安全隱患。