94％的安卓設(shè)備都有這個要命的漏洞！

趨勢科技最近研究發(fā)現(xiàn)，安卓系統(tǒng)的調(diào)試器(Debuggerd)內(nèi)存在一個重大安全漏洞，配合其他漏洞可導(dǎo)致任意代碼執(zhí)行，尤其是暴露內(nèi)存中的數(shù)據(jù)。

該漏洞存在于安卓4.x/5.x的所有版本中，Ice Cream Sandwich、KitKat、Lollipop都無法幸免。

誘發(fā)漏洞

根據(jù)Google官方數(shù)據(jù)，這幾個版本是目前最普及的，在安卓設(shè)備中的合計比例高達94.1％，意味著絕大多數(shù)用戶都無法幸免。

內(nèi)存數(shù)據(jù)暴露

趨勢科技表示，攻擊者可以創(chuàng)建一個特殊的ELF(可執(zhí)行與可鏈接格式)文件，導(dǎo)致調(diào)試器崩潰，此時安卓系統(tǒng)會老老實實地導(dǎo)出DUMP轉(zhuǎn)存、LOG日志文件，而它們都是未加密的，可以隨便訪問。

截止6月1日安卓版本分布

當(dāng)然，僅僅如此是無法執(zhí)行代碼的，但是其中泄露的信息可用來被繞過ASLR(尋址空間布局隨機化)保護，進而任意執(zhí)行惡意代碼，尤其是可以通過反復(fù)崩潰調(diào)試器而發(fā)起DoS拒絕服務(wù)攻擊。

趨勢科技早在今年4月27日就向Google私下報告了此漏洞，而后者認為此漏洞并不算很嚴(yán)重，給了一個很低的評級。

目前，安卓4.x/5.x是否會有修復(fù)補丁尚不得而知，而未來的Android M會修復(fù)它，但得到10-11月份才會發(fā)布。

AOSP(安卓開源工程)自5月15日起已經(jīng)修復(fù)了漏洞，所以手機廠商、運營商完全可以隨時整合并推送給用戶，但一般來說，這個過程都需要幾個月的時間。