谷歌安全研究人员详细介绍了 Pixel 6 中的关键 2G 漏洞
- 来源:互联网
- 时间:2023-08-14 22:39:40
(相关资料图)
谷歌修复了Pixel 6中的两个严重漏洞,远程攻击者只需致电受害者即可控制该设备。该漏洞存在于调制解调器堆栈中,使攻击者能够将潜在受害者的无线蜂窝通信降级为 2G 标准并劫持设备。该公司建议用户禁用手机上的 2G,以确保将来免受此类攻击。
谷歌的 Android 红队本周早些时候在拉斯维加斯举行的黑帽安全会议上详细介绍了这些漏洞。据 SCMedia报道,攻击者将两个 Pixel 调制解调器漏洞链接在一起,首先降低目标设备的蜂窝通信标准,然后劫持它。报告称,整个攻击可以“借助一个价值 1,000 美元的低成本自制手机基站”来执行。
Android 红队于 2021 年发现了这些漏洞。第一个漏洞编号为 CVE-2022-20170,是一个无线远程代码执行漏洞,已使用 Pixel 设备的 2022 年 6 月安全更新进行了修补。第二个问题被追踪为 CVE-2022-20405,是一个特权提升 (EoP) 缺陷。几个月后(2022 年 8 月)谷歌对其进行了修补。有趣的是,该公司最初将 EoP 缺陷归类为中度漏洞。然而,两者后来都被评为严重,CVSS(通用漏洞评分系统)评分为 9.8。
谷歌证实,目前没有证据表明攻击者在野外利用这些漏洞,甚至在过去也是如此。然而,由于“内部 Alphabet 程序”,该公司仍然花了一年多的时间才披露这些漏洞和相关技术 CVE(常见漏洞和暴露)详细信息。这也给了 Pixel 6 用户充足的时间来安装补丁。
关键词: