谷歌安卓安全大考：緊急修補(bǔ)48漏洞，含高危"零日核彈"內(nèi)核漏洞

近期，科技安全領(lǐng)域傳來重大消息，谷歌公司緊急發(fā)布了一項(xiàng)針對安卓操作系統(tǒng)的安全更新，此次更新一舉修復(fù)了多達(dá)48個(gè)安全漏洞，然而，在這其中，一個(gè)名為CVE-2024-53104的內(nèi)核級漏洞尤為引人注目，該漏洞已被黑客實(shí)際利用，并被稱為“零日核彈”。

CVE-2024-53104漏洞隱藏于安卓系統(tǒng)的USB攝像頭驅(qū)動之中，如同一扇隱形的后門，為攻擊者提供了低難度的入侵途徑。一旦攻擊者成功登錄設(shè)備，便能利用系統(tǒng)計(jì)算視頻緩存時(shí)的誤差，越界植入惡意代碼。這不僅可能導(dǎo)致手機(jī)系統(tǒng)癱瘓，更嚴(yán)重者，攻擊者可以實(shí)現(xiàn)對手機(jī)的遠(yuǎn)程操控，嚴(yán)重威脅用戶的數(shù)據(jù)安全和隱私。

與此同時(shí)，谷歌還修復(fù)了高通芯片無線模塊中的一個(gè)固件級漏洞（CVE-2024-45569）。這一漏洞的可怕之處在于，它無需用戶進(jìn)行任何操作，攻擊者便能遠(yuǎn)程入侵設(shè)備，自由讀寫內(nèi)存、執(zhí)行任意代碼，猶如一個(gè)“無線版木馬”，極大地增加了用戶設(shè)備的安全風(fēng)險(xiǎn)。

對于渴望第一時(shí)間獲得安全補(bǔ)丁的用戶來說，谷歌自家的Pixel系列手機(jī)無疑是首選。即將發(fā)布的Pixel 9a也將享受到這一待遇。盡管三星、一加等品牌也會跟進(jìn)更新，但由于各品牌對安卓系統(tǒng)進(jìn)行了不同程度的定制，導(dǎo)致更新速度往往滯后于谷歌官方。這主要是因?yàn)楦鞔髲S商都希望在原生安卓的基礎(chǔ)上，增加一些自家特色功能。

本次安卓安全更新包含兩個(gè)版本的補(bǔ)丁包：基礎(chǔ)版于2025年2月1日發(fā)布，而增強(qiáng)版則在2025年2月5日推出。Pixel用戶首先收到的是基礎(chǔ)版補(bǔ)丁，而增強(qiáng)版則額外針對第三方閉源組件進(jìn)行了修復(fù)，為整個(gè)安卓生態(tài)鏈提供了一次深度的安全維護(hù)。