摩托罗拉手机 Moto G4/G5 机型存在高危内核命令行注入漏洞

据外媒报道，Aleph Research Motorola 安全研究人员在摩托罗拉手机 Moto G4/G5 机型中发现高危内核命令行注入漏洞，允许攻击者利用本地恶意应用程序在移动设备上执行任意代码。

目前，该漏洞已影响摩托罗拉 Android Bootloader（ ABOOT ）最新版本手机。即攻击者可通过注入参数 initrd 以及滥用 ABOOT 下载功能强制 Linux 内核在指定物理地址 SCRATCH-ADDR 加载 initramfs 恶意映像并填充至 rootfs。

今年早些时候，Aleph Research 安全专家在摩托罗拉 Nexus 6 ABOOT 中发现相同漏洞 CVE-2016-10277，允许本地攻击者通过破坏安全/已验证引导机制获取无限制 root 权限并加载恶意或经篡改的 initramfs 映像。目前，Google 已于上月提供修复该漏洞补丁。

安全专家表示，鉴于 Nexus 设备存在的内核命令行注入漏洞可能会影响其他厂商设备，所以他们将于近期对摩托罗拉手机进行集中测试。

原作者：Pierluigi Paganini，译者：青楚 ，译审：游弋

from hackernews.cc.thanks for it.