每16台Android手機中，就有一台受BadKernel漏洞的影響

根據國外媒體的最新報道，安全研究專家在google的v8 javascript引擎中發現了一個安全漏洞（badkernel），該漏洞将會間接影響到android智能手機的安全性。據估算，每十六台android手機中，就會有一台受到badkernel漏洞的影響。不僅如此，目前大部分熱門手機中都存在這個漏洞，例如lg、三星、摩托羅拉和華為等。

漏洞情況

實際上，安全研究專家在很久以前就發現了這個漏洞，并且這個漏洞在2015年的夏天也已經得到了修複。根據安全研究專家透露的資訊，這個漏洞可以影響v3.20至v4.2版本的googlev8 javascript引擎。

盡管這個漏洞在一年多以前就已經被曝光了，但是在2016年的8月份，中國的安全研究專家們發現，如果運作了android作業系統的裝置部署了舊版本的v8引擎，那麼這些裝置的安全性仍然會受到該漏洞的影響。

漏洞利用

來自360的安全研究專家發現，如果目标裝置中部署了包含漏洞的v8引擎，那麼在2015年的那個v8引擎漏洞的幫助下，他們就可以利用包含漏洞的應用app來在目标android裝置中執行惡意代碼。值得注意的是，就漏洞的利用難度而言，badkernel漏洞與stagefright差不多，該漏洞的利用過程同樣非常的簡單。

這個名為badkernel的漏洞将允許攻擊者從使用者的android裝置中竊取隐私資料，擷取到使用者攝像頭的控制權，并且截獲短信消息。當然了，攻擊者能做的當然不僅僅隻有這些，他們幾乎可以從目标裝置中擷取到任何他們想要的資料。由于這個漏洞屬于遠端代碼執行（rce）漏洞，攻擊者如果能夠成功利用這個漏洞，那麼他們就可以擷取到目标android智能手機的完整控制權。

因為攻擊者隻需要通過在web頁面中加載惡意内容便可以利用badkernel漏洞實施攻擊，是以攻擊者在利用漏洞的過程中并不會遇到太大的困難。

受影響的app

根據安全研究專家的推測，badkernel漏洞将會影響大量其他的移動應用。google在chromium移動浏覽器架構中部署了v8引擎，并且chrome和opera等移動端web浏覽器都使用了這一架構。

不僅如此，android的webview元件中同樣配置了v8引擎。移動開發人員可以在他們的應用程式中使用webview元件，進而實作在應用程式中直接檢視web内容。目前，像微信、facebook、twitter、以及gmail這樣的熱門應用都會使用webview元件。而需要注意的是，從android4.4.4到5.1版本的作業系統其預設自帶的webview元件中都包含有該漏洞。

除此之外，有些軟體開發工具包（sdk）中同樣部署了自定義的v8引擎，例如tencentx5.sdk，而這些自定義的v8引擎中幾乎都包含有badkernel漏洞。這也就意味着，使用這些sdk所開發出來的應用程式同樣會受到badkernel漏洞的影響。不幸的是，這些受影響的應用程式基本上都是來自中國的移動端app，例如qq、qq空間、京東用戶端、58同城、搜狐新聞、以及新浪新聞等等。

安全研究專家表示，目前仍然有大量長時間未更新的app仍在使用包含漏洞的webview元件。雖然最新的v8javascript引擎版本為v5.1，但是目前仍然有很多應用程式使用的是包含漏洞的v8引擎。這些“過期”的應用程式之是以會存在，要麼是因為開發人員的懈怠，要麼就是因為使用者沒有對這些程式進行更新。

盡管該漏洞在2016年的8月份就已經被曝光了，但是在這篇文章發稿之前，badkernel漏洞仍然沒有得到其應有的關注度。

trustlook移動安全公司的clarkdong在一封寫給softpedia的電子郵件中表示：

“由于badkernel漏洞最初是由奇虎360公司的安全研究團隊所發現的，而針對該漏洞的初始研究報告也是用中文寫的，但是中文的漏洞報告對于其他國家的安全研究專家而言并不是那麼好了解，是以這也就導緻了美國和歐洲的安全研究人員對該漏洞的資訊所知甚少。”

所有主要的智能手機供應商都會受到badkernel漏洞的影響

clark dong所在的公司已經将目前受badkernel漏洞影響的智能手機型号、android作業系統版本、以及web浏覽器版本做成了一份清單并公布出來了【點我擷取】。這份清單中包含目前大部分的大型廠商，從alcatel到htc，從聯想到索尼，這裡隻是簡單的列舉了一二。

trustlook是一家專注于為android移動裝置提供反病毒解決方案的公司，trustlook的安全研究人員利用遙測資料來從客戶裝置中收集到了一些統計分析資料，并根據這些資料來估計出目前受影響的使用者總量。

該公司表示，目前大約有41.48%的三星智能手機會受到badkernel漏洞的影響。不僅如此，市場上有38.89%的華為智能手機同樣會受到該漏洞的影響。除此之外，還有26.67%的摩托羅拉手機和21.93%的lg手機也會受到badkernel漏洞的影響。

但是安全研究專家表示，受該漏洞影響最為嚴重的國家當屬秘魯，在秘魯平均每五台android智能手機中就有一台存在badkernel漏洞。受影響程度排在秘魯之後的國家依次為法國（14.7%）、奈及利亞（12.4%）、孟加拉（10.2%）和泰國（9.4%）。

四分之三的lg手機其内置浏覽器中存在badkernel漏洞

相同的遙測資料表明，受此漏洞影響最為嚴重的移動端浏覽器是lg的内置web浏覽器（75%），其次是三星手機的内置浏覽器（41%）。除了上述兩款浏覽器之外，第三方移動浏覽器googlechrome也會受到該漏洞的影響（11%）。

總結

為了避免自己的智能手機受到badkernel攻擊，使用者應該及時更新移動裝置中的應用程式。更重要的是，當供應商向使用者推送了android作業系統更新包時，使用者應該盡量避免推遲安裝或拒絕安裝這類更新。

使用者可以通過通路trustlook的官方網站來檢視自己的智能手機是否會受到該漏洞的影響。除此之外，使用者也可以安裝一個專門針對badkernel漏洞的安全掃描程式來檢測裝置的安全性【點我下載下傳】。

本文轉自d1net（轉載）