如果近期你的手机有收到系统更新,并且更新的内容为:更新谷歌安全补丁,请你务必立刻马上更新你的系统。
最近的系统更新主要修复了漏洞 CVE-2023-20963,此漏洞的影响范围为 Android 11 到 Android 13;普通应用通过这个漏洞可以把自己权限提升到系统级别,造成无法卸载、无法删除、系统乱弹通知、系统耗电量增加、手机无故重启等严重后果。
此漏洞谷歌已经在 2023#03 也就是三月份修复了,不过最近有人公布了漏洞利用的源代码,很有可能过一段时间你手机上就会有一堆应用利用此漏洞,到时候你的手机就成培养基了。
需要说明的是,除非你是以下系统之一:iOS、macOS、Windows、Linux、Windows Phone、塞班、黑莓、ChromeOS、Fuchsia,否则请老老实实更新补丁。
Android 10 及以下的系统不在本次补丁的范围之内,所以没有收到更新补丁是正常的;但这并不意味着你不受影响,因为这一系列的攻击曾经被你熟悉的某个应用广泛利用。
如果你的设备在受影响范围内,但很不幸没有收到安全补丁更新,请速速给你的手机厂商反馈,并且在近期不要随意更新应用,更不要随意下载陌生应用;如果在一周内你依然没有收到系统更新,下次换手机的时候记得换个靠谱点的品牌。
如果你的设备已经停止维护,那么你可以考虑采取以下措施:
不要随意安装陌生应用,应用更新的时候尽量使用谷歌应用商店的版本。
冰箱、黑域等应用对此作用有限,不要以为自己可以管控权限而放松警惕;因为此漏洞实际上是把自己变成了系统组件,你限制它本身的权限没有作用。
此漏洞利用的源代码目前对虚拟机类型的应用无效,可以考虑把可疑应用装在虚拟机中;但是未来应用完全可以写出逃逸虚拟机的利用代码,所以能打补丁尽量打补丁。
再提醒一遍:务必更新!!
ps:转载自太极作者的发布
