对于收到 Android 每月安全更新的重要性,怎么强调都不过分。如果你需要另外一个例子来说明原因,只要看看 CVE-2020-0022 安全公告就知道了,这是一个允许骇客可在一些 Android 装置上经由蓝牙连线执行任意程式码的新漏洞。
这个安全性漏洞是由德国海德堡 IT 安全公司 ERNW 发现的。以下是该公司对该漏洞的描述:
在 Android 8.0 及 9.0 系统上,只要启用了蓝牙,附近的远端攻击者就可以透过蓝牙 Daemon 程式权限,悄悄地执行任意程式码。不需要使用者互动,只需要知道目标装置的蓝牙 MAC 位址便能远端发动攻击。对于某些装置,蓝牙 MAC 位址可以经由 Wi-Fi MAC 位址推断出来。该漏洞可能导致个人资料遭窃,并可能被用来散播恶意软件(短距离蠕虫)。
虽然具体细节尚未公布,但 2020 年 2 月发布的安全更新修补中已经包含相关的修补程式。如果你的手机或平板电脑已经升级到 Android 10 的话,那么你会很安全,该漏洞除了会瘫痪 Android 蓝牙堆叠之外,并不会对该版本的 Android 系统造成影响。
如果你的装置仍然使用 Android 9 Pie 或更低的版本,或许也不用太过担心,毕竟骇客要找到蓝牙 MAC 位址并不是一件简单的事情。
- BlueFrag security vulnerability allows code execution over Bluetooth on some Android devices
(首图来源:Android)
