三星小米等廠商均受影響,谷歌披露威脅數(shù)百萬安卓設(shè)備的高危漏洞
導(dǎo)讀: 谷歌安卓合作伙伴漏洞計劃(APVI)網(wǎng)站上的一個新帖子中,曝光了一個影響數(shù)百萬安卓設(shè)備的安全漏洞。黑客利用該漏洞,就能夠在三星、LG、小米等諸多OEM廠商品牌手機中植入惡意軟件。而且這些惡意軟件可以獲得系
谷歌安卓合作伙伴漏洞計劃(APVI)網(wǎng)站上的一個新帖子中,曝光了一個影響數(shù)百萬安卓設(shè)備的安全漏洞。黑客利用該漏洞,就能夠在三星、LG、小米等諸多OEM廠商品牌手機中植入惡意軟件。而且這些惡意軟件可以獲得系統(tǒng)級別的最高權(quán)限。
這個安全漏洞的關(guān)鍵就是平臺證書。谷歌員工和惡意軟件逆向工程師盧卡茲・塞維爾斯基率先發(fā)現(xiàn)了這個證書問題,他表示這些證書或簽名密鑰決定了設(shè)備上安卓版本的合法性。供應(yīng)商也使用這些證書來簽署應(yīng)用程序。
雖然安卓系統(tǒng)在安裝時為每個應(yīng)用程序分配了一個獨特的用戶ID(UID),但共享簽名密鑰的應(yīng)用程序也可以有一個共享的UID,并可以訪問對方的數(shù)據(jù)。而通過這種設(shè)計,與操作系統(tǒng)本身使用相同證書簽署的應(yīng)用程序也能獲得同樣的特權(quán)。
而問題的關(guān)鍵是,部分OEM廠商的安卓平臺證書泄露給了錯誤的人。這些證書現(xiàn)在被濫用于簽署惡意應(yīng)用程序,使其具有與安卓系統(tǒng)相同的權(quán)限。這些應(yīng)用程序可以在受影響的設(shè)備上可以不和用戶交互,直接獲得系統(tǒng)級權(quán)限。因此安卓設(shè)備一旦感染,就能在用戶不知情的情況下獲取所有數(shù)據(jù)。
責(zé)任編輯:zsz
網(wǎng)友評論
曝光臺排行
延伸閱讀
- 三星旗艦機存指紋識別漏洞:可輕易破解 最早下周修復(fù)
- 繼三星爆炸后,紅米手機又被爆自燃,品控問題何時才能解決?
- 三星手機被投訴:系統(tǒng)崩潰 現(xiàn)黑屏重啟等問題
- 跌落神壇的三星:新折疊機16999元起 頂級旗艦開賣一月銷量
- 三星奧斯汀工廠發(fā)生有毒物質(zhì)污染,所到之處水生生物毫無幸存
- 三星偷偷給App限速 波及1萬多款流行應(yīng)用
- 三星電子遭黑客攻擊,未造成用戶信息外泄
- 5nm假冒4nm?三星、臺積電撒了彌天大謊?
- 三星電子稱部分美國客戶個人數(shù)據(jù)因漏洞暴露,或涉及“人口統(tǒng)
- 三星因數(shù)據(jù)泄露事件面臨集體訴訟,被指發(fā)現(xiàn)一個月后才通知用