Google在每个月的第一个星期一发布Android安全公告，该页面公开了Google自己或其他第三方提交的所有安全漏洞及其补丁程序。今天也不例外：Google刚刚公开了2020年3月的Android安全公告。最新公告中记录的漏洞之一是CVE-2020-0069，这是一个关键的安全漏洞，尤其是 rootkit，这会影响大型芯片设计公司联发科(MediaTek)芯片组的数百万种设备。尽管2020年3月的Android安全公告似乎是CVE-2020-0069的首次公开披露，但自2019年4月以来，该漏洞的细节实际上已经在互联网上(更具体地说在XDA-Developers论坛上)公开开放了尽管联发科在发现一个月后提供了补丁，但该漏洞仍可在数十种设备型号上利用。更糟糕的是，该漏洞正在被黑客积极利用。现在，联发科技(MediaTek)已求助于Google来弥合这一补丁漏洞，并针对这种关键的安全漏洞利用来保护数百万台设备。

对于不熟悉XDA-Developers的任何读者，我们是最大的Android软件修改论坛的所在地。通常，这些修改主要围绕在设备上获得root访问权限，以便删除bloatware，安装自定义软件或调整默认系统参数。亚马逊的Fire平板电脑是论坛上爱好者黑客的热门目标-它们充满了可卸载的膨胀软件，无法访问Google Play商店等基本软件应用程序，而且最重要的是，价格非常便宜。扎根Amazon Fire平板电脑的挑战在于，它们被严格锁定，以防止用户走出亚马逊围墙花园。亚马逊没有提供解锁Fire平板电脑引导加载程序的官方方法，这通常是扎根任何给定Android设备的第一步。因此，扎根Amazon Fire平板电脑(不进行硬件修改)的唯一方法是在软件中找到一个漏洞，使用户可以绕过Android的安全模型。在2019年2月正是XDA高级会员外交官在我们的Amazon Fire平板电脑论坛上发布主题时所做的。他很快意识到，这种攻击的范围远不止亚马逊的Fire平板电脑。

在XDA会员外交官和其他社区成员进行了一些测试之后，确认此漏洞利用可在大量联发科芯片上使用。作者指出，该漏洞利用程序可以在“几乎所有联发科的64位芯片上工作”，并且特别指出以下漏洞：MT6735，MT6737，MT6738，MT6739，MT6750，MT6753，MT6755，MT6757，MT6758，MT6761，MT6762 ，MT6763，MT6765，MT6771，MT6779，MT6795，MT6797，MT6799，MT8163，MT8167，MT8173，MT8176，MT8183，MT6580和MT6595。由于受此漏洞影响的联发科技芯片组数量众多，因此该漏洞的简称为“ MediaTek-su”或“ MTK-su”。在2019年4月17日，外交官发布了第二个主题为“ 联发科ARMv8的惊人温度根 ””在我们的“其他Android开发”论坛上。在此线程中，他共享了一个脚本，用户可以执行该脚本以在Shell中向其授予超级用户访问权限，并将SELinux(为进程提供访问控制的Linux内核模块)设置为高度不安全的“允许”状态。要让用户获得root访问权并将SELinux设置为在自己的设备上允许的操作非常容易：要做的就是将脚本复制到一个临时文件夹，将目录更改为存储脚本的位置，向该脚本添加可执行权限。脚本，然后执行脚本。

XDA社区成员确认该漏洞利用至少在以下设备上起作用：

社区确认的设备可被联发科su利用

除了来自Vivo，Huawei / Honor(在Android 8.0+之后)，OPPO(在Android 8.0+之后)和Samsung的基于MediaTek的手机之外，XDA社区成员发现，在具有以下功能的设备上尝试使用MediaTek-su时，其工作频率通常会更高受影响的芯片组。根据XDA会员外交代表的说法，Vivo，Huawei / Honor，OPPO和Samsung设备“使用内核修改来阻止通过漏洞的根访问”，这意味着开发人员将需要挖掘这些设备的内核源代码以创建“定制版本”。 [s]”。这不值得付出额外的努力，因此即使“从理论上讲”，该漏洞仍然可以发挥作用，但开发人员选择不增加对这些设备的支持。

到现在为止，应该清楚的是，这种利用影响了市场上的大量设备。联发科技的芯片为数百种预算和中端智能手机型号，廉价平板电脑和非品牌机顶盒提供动力，其中大多数都在出售时不期望制造商及时更新。因此，仍然受到联发科su影响的许多设备，即使它们得到了修复，也不太可能在今天披露后的几周或几个月内获得修复。那么，什么使联发科su 以9.3 的CVSS v3.0得分赢得“严重”严重性?

为什么MTK-su是严重安全漏洞

重申一下，在Android设备上实现root访问的典型方法是首先解锁引导加载程序，这将禁用对引导分区的验证。引导加载程序解锁后，用户可以将超级用户二进制文件引入系统，还可以将超级用户管理应用程序引入系统，以控制哪些进程有权访问root。解锁引导加载程序是有意禁用设备上的一项关键安全功能的，这就是为什么用户必须通过通常在开发人员选项中启用切换功能然后向引导加载程序发出解锁命令来明确允许它发生的原因。但是，使用联发科技su，用户无需解锁引导加载程序即可获得root访问权限。相反，他们要做的就是将脚本复制到其设备并在Shell中执行。但是，用户不是唯一可以做到这一点的人。手机上的任何应用程序都可以将MediaTek-su脚本复制到其私有目录中，然后执行它以在shell中获得root用户访问权限。实际上，当XDA会员外交官建议使用适用于Android应用程序的Terminal Emulator或Termux而不是ADB推荐另一套说明时，他们会在论坛主题中强调这种可能性。

有了root用户访问权限，Android的安全模型就基本崩溃了。例如，权限在root上下文中变得毫无意义，因为有权访问root shell的应用程序可以自行授予所需的任何权限。此外，借助根外壳，可以访问整个数据分区(包括存储在应用程序通常无法访问的私有数据目录中的文件)。具有root用户的应用程序还可以在后台静默安装所需的任何其他应用程序，然后向他们授予侵犯您的隐私所需的任何权限。根据XDA认可的开发人员topjohnwu，恶意应用程序甚至可以“通过使用ptrace将代码直接注入Zygote”，这意味着您的设备上的普通应用程序可能会被劫持以对攻击者进行投标。这些示例仅涉及应用程序可能在您不知情的情况下违反您对后台的信任的几种方式。但是，恶意应用程序可能会对您的设备造成破坏，而不会隐藏它们在做什么。例如，勒索软件对root用户的访问极为有效。如果您不付款，那么假想的勒索软件应用程序可能会擦干净整个设备，从而完全不可逆地使您的设备无法运行。

MediaTek-su中的唯一“弱点”是，它仅授予应用程序“临时”根访问权限，这意味着设备重启后，进程将失去超级用户访问权限。此外，在运行Android 6.0 Marshmallow及更高版本的设备上，“ 验证启动”和dm-verity的存在会阻止对只读分区(如系统和供应商)的修改。但是，这两个因素主要只是阻碍我们论坛上的篡改行为，而不是恶意行为者。为了克服临时root的限制，恶意应用程序可以在每次引导时简单地重新运行MediaTek-su脚本。另一方面，几乎不需要克服dm-verity，因为大多数恶意软件作者不太可能对系统或供应商分区进行永久性修改。毕竟已经有很多吨 恶意应用程序可以通过root shell执行的操作。

如果您在技术层面上想知道联发科技su正在利用什么，联发科技与我们共享了以下图表，其中概述了切入点。该漏洞显然存在于称为“ CMDQ”的联发科Linux内核驱动程序中。该描述指出，“通过在[CMDQ设备节点中执行IOCTL命令]，本地攻击者可以“任意读取/写入物理内存，将[内核]符号表转储到预先分配的DMA缓冲区中，[并且]进行操作DMA缓冲区以修改内核设置以禁用SELinux并升级为“ root”特权。”

根据联发科技与我们共享的图表，此漏洞影响运行Linux内核版本3.18、4.4、4.9或4.14且运行Android版本7 Nougat，8 Oreo或9 Pie的联发科技设备。显然，该漏洞在运行Android 10的联发科技设备上无法利用，因为“ CMDQ设备节点的访问权限也由SELinux强制执行。” 此缓解措施可能来自联发科技BSP的更新，而不是Android本身。Android 10对此漏洞的唯一缓解措施是它限制了应用程序在其主目录中执行二进制文件;但是，正如XDA认可的开发人员topjohnwu指出的那样，恶意应用程序只能在动态库中运行MediaTek-su代码。

即使联发科已在所有受影响的芯片组中修复了此问题，但它们不能强迫设备制造商实施补丁。联发科技(MediaTek)告诉我们，他们已经在2019年5月完成了补丁程序。毫无疑问，亚马逊一经得知就立即在其设备上修补了该问题。但是，自联发科向合作伙伴提供修复程序以来已经过去了10个月，但到2020年3月，数十家OEM尚未修复其设备。大多数受影响的设备都在具有较旧的Android安全补丁程序级别(SPL)的较旧的Android版本上，并且当您考虑使用这些联发科芯片的数百种鲜为人知的设备型号时，更新情况甚至更糟。联发科 认真对待问题出在这里，因此他们已向Google寻求帮助。

与联发科不同，Google 可以迫使OEM通过许可协议或程序条款(例如Android One)来更新其设备。要让OEM宣布设备符合2020-03-05安全补丁程序级别(SPL)，设备必须包含2020年3月Android安全公告中的所有框架，Linux内核和适用的供应商驱动程序修复程序，其中包括CVE-2020-0069或MediaTek-su的修复程序。(不过，Google 在声明某个SPL时实际上并没有强制OEM合并所有补丁。)既然2020年3月的公告已经发布，那么这个故事应该结束了，对吗?不幸的是，我们还必须牢牢抓住Google的脚，以拖延他们的脚步来安装补丁。

安全补丁程序中的缺陷

如果还不清楚，不是每个安全漏洞都需要最终发布在Android安全公告中。供应商发现并修补了许多漏洞，而这些漏洞从未出现在月度公告中。MediaTek-su应该是其中之一，但是由于多种原因，一些OEM未能集成MediaTek提供的补丁。(为什么有很多潜在的原因，从缺乏资源到业务决策到沟通失败。)当我之前说联发科“求助于Google”寻求帮助时，它暗示联发科积极寻求Google的帮助，让OEM最终修复他们的设备。但是，实际上可能并非如此。据我了解，直到Google偶然从安全报告中提出Google之前，他都不知道联发科技。趋势科技公布的1月6日，2020年在报告中，趋势科技被记录的另一个安全漏洞，被称为“ 释放后使用，在绑定驱动器 ”漏洞，这是积极地在野外利用。趋势科技指出，三个恶意应用程序是如何使用“绑定程序驱动程序中的释放后使用”漏洞或联发科技su这两种方法之一来获得根访问权限的。

在该代码TrendMicro的共享，我们可以清楚地看到恶意应用程序被瞄准特定设备型号(如诺基亚3，OPPO F9，和红米手机6A)，并雇用他们联苏。

我不能代表TrendMicro，但是似乎他们没有意识到MediaTek-su是一个尚未打补丁的漏洞。毕竟，他们的重点是“在活页夹驱动程序中自由使用”漏洞，发现联发科技su的使用似乎是事后才想到的。(我敢肯定，如果趋势科技意识到了周围的联发科素的情况下，他们将协调其与谷歌披露的努力。)我们只认识到这一点利用自己在2020年2月5日，和调查为自己以后怎么样糟糕的是，我们于2020年2月7日就此事联系了Google。Google非常担心宣传联发科的影响，以至于他们要求我们推迟发布该故事直到今天。 考虑到使用联发科技su对恶意软件所针对的用户可能造成的不可弥补的危害之后，我们同意搁置这个故事，直到2020年3月Android安全公告宣布。尽管如此，考虑到许多设备要花多长时间才能获得最新的安全更新，如果要获得这些更新，那么从现在起几个月后，肯定会有很多设备仍然容易受到联发科的攻击。使用脆弱设备的任何人都应该感到恐惧。

尽管正在积极地利用这种非常严重的“严重”严重漏洞，但Google仅在2020年3月的公告中加入了针对此问题的修补程序，该通知大约是在他们意识到此问题后两个月。虽然Google确实在公告发布前整整30天通知了Android合作伙伴最新的Android安全公告(即，使OEM知道了2020年3月发布的2020年2月初的公告)，但Google可以而且经常这样做，使用更改或新修复程序更新公告。为什么Google不选择加快包含针对此类严重问题的补丁，这超出了我的理解，尤其是在联发科10个月前已对此进行修复时。如果在苹果的设备中发现了这样的错误，我毫不怀疑他们会发布修复程序。多，快很多。谷歌基本上是冒险冒险押注联发科su仍将保持低调，直到2020年3月公告为止。尽管Google在这方面很幸运，但我们不知道有多少恶意软件作者已经知道该漏洞利用方法。毕竟，它已经存在于随机XDA论坛线程中近一年了。

在这场灾难中，还有另外一个聚会我没说太多，它是漏洞利用程序的作者XDA Member外交。值得称赞的是，我认为他在发布MediaTek-su方面没有恶意。我们可以清楚地将漏洞利用的起源追溯到外交官对改装Amazon Fire平板电脑的渴望。外交告诉我，他开发这种根本方法的主要目的是帮助社区。定制您的设备是XDA的全部宗旨，而外交人士在社区中的努力正是人们对论坛的享受。尽管外交官拒绝开源该项目引起了一些担忧，但他解释说，他希望社区尽可能长时间享受拥有根访问权限的项目。当我第一次联系门时，他还说，他与一些合作伙伴合作，阻止他共享项目的源代码和研究。虽然我无法获得有关此次合作的更多详细信息，但我确实想知道，如果联发科提供了漏洞赏金计划，外交官是否会选择公开利用这一漏洞。我无法想象，如果联发科确实拥有这样的程序，那么这么大的漏洞不会付出巨额资金。外交人士声称，自从2015年后期的联发科技MT6580芯片组以来，就已经有可能利用此漏洞，因此人们不得不怀疑，外交人员是否甚至是发现该漏洞的第一人。他告诉我，直到本文发表之前，他都不知道联发科技正被积极利用。我确实想知道，如果联发科提供了漏洞赏金计划，外交官是否会选择利用此漏洞进行公开。我无法想象，如果联发科确实拥有这样的程序，那么这么大的漏洞不会付出巨额资金。外交人士声称，自从2015年后期的联发科技MT6580芯片组以来，就已经有可能利用此漏洞，因此人们不得不怀疑，外交人员是否甚至是发现该漏洞的第一人。他告诉我，直到本文发表之前，他都不知道联发科技正被积极利用。我确实想知道，如果联发科提供了漏洞赏金计划，外交官是否会选择利用此漏洞进行公开。我无法想象，如果联发科确实拥有这样的程序，那么这么大的漏洞不会付出巨额资金。外交人士声称，自从2015年后期的联发科技MT6580芯片组以来，就已经有可能利用此漏洞，因此人们不得不怀疑，外交人员是否甚至是发现该漏洞的第一人。他告诉我，直到本文发表之前，他都不知道联发科技正被积极利用。外交人士声称，自从2015年后期的联发科技MT6580芯片组以来，就已经有可能利用此漏洞，因此人们不得不怀疑，外交人员是否甚至是发现该漏洞的第一人。他告诉我，直到本文发表之前，他都不知道联发科技正被积极利用。外交人士声称，自从2015年后期的联发科技MT6580芯片组以来，就已经有可能利用此漏洞，因此人们不得不怀疑，外交人员是否甚至是发现该漏洞的第一人。他告诉我，直到本文发表之前，他都不知道联发科技正被积极利用。

如何检查您是否受到联发科的影响?

如果要检查设备是否容易受到MediaTek-su的攻击，请手动运行XDA成员外交官在此XDA论坛主题中发布的脚本。如果您输入根外壳程序(您将知道符号何时从$变为#)，那么您将知道该漏洞利用程序有效。如果可行，则需要等待设备制造商推出修补MediaTek-su的更新。如果您的设备报告的安全补丁程序级别为2020-03-05(这是最新的2020年3月SPL)，则几乎可以肯定它受到了MediaTek-su的保护。否则，您只需要检查设备是否容易受到攻击即可。

更新1(3/2/2020 @ EST 9:45 PM EST)： 更新了本文以澄清XDA会员外交官在2019年2月发现该漏洞后便立即意识到此漏洞的范围，但他在本文发表之前，尚不知道该漏洞的野外使用。我们还纠正了有关外交官拒绝共享该项目源代码的原因的措辞。