什么是QuadRooter？9亿部Android设备是否容易受到攻击？

实际上，QuadRooter是什么？它如何在Android设备上运行？

目前有九亿个Android设备容易受到攻击的新闻：

在数以千万计的Android设备上使用的软件中发现了严重的安全漏洞，该漏洞可能使攻击者可以完全访问手机的数据。

这些漏洞是由Checkpoint研究人员研究在美国公司Qualcomm生产的芯片组上运行的软件时发现的。

该公司表示，在大约9亿部Android手机中发现了高通处理器。

文章还说，这是芯片组级别的东西。

这是真的？

以及这在内部如何运作？

什么是QuadRooter？

Quadrooter是一系列安全漏洞的名称，其中包括

• CVE-2016-2059
• CVE-2016-2504
• CVE-2016-2503
• CVE-2016-5340

这些是芯片组制造商高通公司（Qualcomm）提供的Linux / Android系统软件中的弱点。

您下载的某个应用程序可能会利用它们，甚至不需要任何特殊特权的应用程序也可以利用它们。这样的应用程序可以利用这些漏洞来对手机进行更高级别的控制，包括访问您存储在手机上的任何私人数据。

美国国家漏洞数据库为上面列出的漏洞提供了以下描述

2059年

Qualcomm创新中心（QuIC）Android贡献的MSM设备和其他产品中，Linux内核3.x的IPC路由器内核模块中的net / ipc_router / ipc_router_core.c中的net / ipc_router / ipc_router_core.c中的msm_ipc_router_bind_control_port函数不会验证端口是否为客户端端口，攻击者可以通过进行许多BIND_CONTROL_PORT ioctl调用来获得特权或导致拒绝服务（竞赛条件和列表损坏）。

2504

借助Nexus 5、5X，6、6P和7（2013）设备上的2016-08-05之前的Android中的Qualcomm GPU驱动程序，攻击者可以通过精心设计的应用程序（即Android内部错误28026365和Qualcomm内部错误CR1002974）获得特权。

2503

借助Nexus 5X和6P设备上的2016-07-05之前的Android中的Qualcomm GPU驱动程序，攻击者可以通过精心制作的应用程序（即Android内部错误28084795和Qualcomm内部错误CR1006067）获得特权。

5340

针对Linux内核3.x的某个Qualcomm创新中心（QuIC）Android补丁中的drivers / staging / android / ashmem.c中的is_ashmem_file函数错误地处理了KGSL Linux图形模块中的指针验证，这使攻击者可以绕过目标访问限制使用/ ashmem字符串作为牙科名称。

您可以从Google Play商店下载名为“ Quadrooter扫描仪 ” 的应用-它会告诉您手机是否容易受到攻击。该应用程序是由Checkpoint Software Technologies Ltd编写的。我已经安装，运行并卸载了它。除此之外，我不能说它是否可靠。

高通已向制造商发布了软件修复程序

Google已在7月和8月的安全公告中解决了其中一些问题

Issue                                    CVE            Severity    Affects 
                                                                    Nexus?
Elevation of privilege vulnerability in  CVE-2016-2503,  Critical   Yes
Qualcomm GPU driver (Device specific)    CVE-2016-2067

...

Elevation of privilege vulnerability in  CVE-2016-2504,  Critical   Yes
Qualcomm GPU driver                      CVE-2016-3842

...

Elevation of privilege vulnerability in Qualcomm GPU driver

An elevation of privilege vulnerability in the Qualcomm GPU driver could 
enable a local malicious application to execute arbitrary code within the 
context of the kernel. This issue is rated as Critical due to the 
possibility of a local permanent device compromise, which may require 
reflashing the operating system to repair the device.

CVE References  Severity    Updated Nexus devices   Date reported
CVE-2016-2504    Critical   Nexus 5, Nexus 5X,      Apr 5, 2016
A-28026365                  Nexus 6, Nexus 6P, 
QC-CR#1002974               Nexus 7 (2013)

我怀疑易受攻击的手机的所有者有多种选择，包括部分或全部

• 等待制造商提供无线更新以解决此问题。
• 不要下载任何新应用
• 在漏洞修复之前，防止应用程序被更新
• 卸载所有多余的应用程序
• 关闭手机电源，直到确定已修复

我想许多人至少会把最后一项视为过度杀伤力。

9亿部Android设备是否容易受到攻击？

智能手机的全球销量每年约为10亿个。

高通公司是智能手机中使用集成电路的主要制造商。他们出售各种IC，包括流行的基于ARM的“ Snapdragon”系列CPU。他们的年收入约为250亿美元。

据福布斯

根据ABI Research的调查，领先的芯片组制造商高通公司（Qualcomm）在2015年仍是LTE基带芯片组的领导者。该公司在这一年中占据了LTE基带芯片组市场的65％的巨大份额。

2016年可能会使用20亿部智能手机。当然，其中很多都是IOS设备。可能仍然有一两个Windows Phone用户：-)。

智能手机的平均寿命可能为两年或四年。二手智能手机肯定有市场。似乎仍有许多超过一年的智能手机仍在使用中。

当然，有些Android设备不是智能手机。谷歌估计全球有14亿台活跃的Android设备。14亿的65％为9.1亿。这也许就是记者得出这一数字的方式。如果是这样，那根本就不准确。

但是，假设易受攻击的驱动程序已经存在了几年，那么似乎有可能影响亿万个设备。9亿似乎是可能的估计值的最高上限。

有关

• 2016年8月10日“ 谷歌表示，大多数用户的保护，“反对‘Quadrooter’ - Play商店应该发现的漏洞”
• 2016-08-08 QuadRooter漏洞：关于此Android安全恐慌要了解的5件事

有关Quadrooter的更多信息

流量劫持Linux漏洞影响了80％的Android设备-包括Nougat-摘录

尽管有大量的智能手机和平板电脑处于风险之中，但Lookout表示，该漏洞难以利用，从而在一定程度上减轻了风险：

• 利用此漏洞，攻击者可以远程监视正在使用未加密流量的人员或破坏加密连接。尽管此处不需要中级攻击者，但攻击者仍然需要知道源IP地址和目标IP地址才能成功执行攻击。

  • 然后，我们可以估计所有最新运行Linux Kernel 3.6（大约Android 4.4 KitKat）的Android版本都容易受到此攻击的影响，占Android生态系统的79.9％。

  • 我们发现Linux内核的修补程序是在2016年7月11日编写的。但是，检查Android Nougat的最新开发人员预览版，似乎内核是否已针对此漏洞进行了修补。这很可能是因为该补丁在最新的Android更新之前不可用。

（提供强调）

为了修补此漏洞，Android设备需要更新其Linux内核。幸运的是，在补丁发布之前，用户可以采取一些补救措施：

• 加密您的通信，以防止其被窥探。这意味着确保您浏览的网站和您使用的应用程序都使用HTTPS和TLS。如果要添加额外的预防措施，也可以使用VPN。

• 如果您拥有已扎根的Android设备，则可以使用sysctl工具并将net.ipv4.tcp_challenge_ack_limit的值更改为非常大的值，例如net.ipv4.tcp_challenge_ack_limit = 999999999

诈骗者在Google Play中放置了伪造的Android安全补丁应用 -摘录

诈骗者在Google Play中放置了一个伪造的Android安全补丁程序，以感染智能手机。

伪造的补丁程序打包为应用程序，已在Google Play中短暂提供，并据称修复了安全公司Check Point上周发现的所谓QuadRooter错误。

据安全公司ESET称，Google现在已从Google Play中删除了这两个违规应用。两者都被出版商Kiwiapps Ltd称为“ Fix Patch QuadRooter”。

ESET研究人员表示，这是首次使用伪造的Android安全补丁来吸引潜在受害者