据报道，Google Project Zero安全研究人员发现，一个Android 零日漏洞允许攻击者提权破坏设备目标。截至目前，至少有18个型号的手机受该漏洞影响，包括Google的Pixel 1和2、华为P20、小米的Redmi5A和A1、三星的S7、S8和S9等。

图片源于pixabay

据悉，研究人员对已更新补丁的Pixel 2进行代码审查时发现该漏洞，该漏洞源于Linux内核，修复补丁仅针对AOSP Android内核版本3.18、4.4和4.9，未被整合进 Android 的安全更新，大多数厂商制造和销售的Android设备未安装有补丁的内核，因此，即使已将设备更新至最新版本，用户仍易受到此漏洞的攻击。

图片源于pixabay

项目研究人员Maddie Stone表示，此漏洞被追踪为CVE-2019-2215，是Android内核绑定程序驱动程序中的“先用后用”漏洞，允许黑客提权获得设备的根访问权限，并接管目标设备。

据悉，利用该漏洞需要在易受攻击的系统上安装恶意应用程序，由于该漏洞是“可从Chrome沙箱内部访问的”，因此若漏洞利用是通过Web交付的，则只需将其与渲染器漏洞配对使用。

图片源于pixabay

安全研究人员称，该漏洞正被以色列安全软件公司NSO Group或其客户利用，而NSO Group代表则否认这一说法。

Google已承认该漏洞为严重漏洞，并将在10月发布补丁来修复该漏洞。此外，专家表示，由于此类漏洞利用大多仅限于针对性攻击，用户不必过于担心，仅需避免从第三方应用程序商店下载和安装不必要的应用程序。