部分 HTC 手機發現存在高危安全漏洞

标签: 新聞訊息 HTC HTC security vulnerability HTC 安全漏洞 security vulnerability | 发表时间:2011-10-03 09:50 | 作者:rickybjj Eastar Lee
出处:http://www.android-hk.com

根據來自 Android Police 的報導,有安全研究人員在部分 HTC 手機上發現了一個高危安全漏洞,允許犯罪分子很輕易取得完整手機及個人資料。而目前所知受影響的手機包括 EVO 4G、EVO 3D、Thunderbolt、EVO Shift 4G、MyTouch 4G Slid、Sensation 等,全都屬於硬體規格較高階的 HTC 機款。

據了解,這個安全漏洞並非 Android 原生,而是先前由 HTC 推出的軟體更新內容有關,這個更新主要是植入一個記錄程式來記錄用戶在手機上的使用行為,其實這樣已經有點不當。不過最可怕的是,HTC 罔顧資料安全,沒有對儲存檔案進行加密,只要任何一款手機上的 Android 程式本身具備用來連接網絡的 android.permission.INTERNET 權限,就可以取得儲存在手機內的各種紀錄及個人資料。

目前估計受影響的內容分別包含利用手機登入過的使用者帳號、近期的 GPS 位置、電子郵件及短訊內容、網頁瀏覽紀錄、聯絡人電話、系統執行紀錄,甚至手機的硬件資訊,包括 ROM、Bootloader 與內核版本。這其實等同將手機親手交給犯罪分子沒有分別。

Android Police 表示,目前要解決此漏洞的方法,可以透過 Root 權限手動移除機內名為 HTCloggers 的 APK 檔案。如果沒有的話,就只能靜待 HTC 推出修補程式。

相关 [htc 存在 安全漏洞] 推荐:

部分 HTC 手機發現存在高危安全漏洞

- Eastar Lee - Android 資訊雜誌 android-hk.com
根據來自 Android Police 的報導,有安全研究人員在部分 HTC 手機上發現了一個高危安全漏洞,允許犯罪分子很輕易取得完整手機及個人資料. 而目前所知受影響的手機包括 EVO 4G、EVO 3D、Thunderbolt、EVO Shift 4G、MyTouch 4G Slid、Sensation 等,全都屬於硬體規格較高階的 HTC 機款.

WebGL存在严重的安全漏洞

- CandyFrankie - Solidot
Panggit 写道 "HTML5中的WebGL技术已在Firefox和Chrome等浏览器中实现,并被默认开启,但这实际上给浏览器带来了极大的安全隐患. 问题根源在于,大多显卡以及显卡驱动在设计时并不考虑安全问题,而将相关安全问题交由操作系统完成. 但浏览器沙盒跳过了这一环节默认WebGL可以被安全执行,这会使脚本取得跨域名的执行权限,甚至取得访问本地文件的权限.

Gmail发现安全漏洞

- Royce - Solidot
6月1日,Google官方博客宣布数百Gmail用户遭到黑客攻击,搜索巨人称帐户劫持不是Gmail本身的安全漏洞所致. 攻击者使用的钓鱼攻击,他们向特定帐户发送一封邮件,内有钓鱼网址链接,欺骗用户输入密码. 然而今天Gmail用户温云超发现Google的邮件服务确实存在安全问题,他演示了被钓鱼的过程(YouTube),他收到一封“李承鹏参选人大,邀请你参加”的邮件,文章呼吁支持者前往一个链接支持李承鹏.

Tor修复部分安全漏洞

- Yan - Solidot
法国研究人员Eric Filiol声称发现了Tor匿名网络加密系统存在一个严重漏洞,能让攻击者发现网络中隐蔽的节点,甚至利用漏洞控制使用者的计算机. 漏洞与Tor加密实现有关,研究人员没有披露攻击细节. Tor项目基金会发表声明驳斥了 Filiol的部分说法,称他的数据是有缺陷,他的声明有夸大之嫌,同时指出研究人员没有与Tor分享研究数据.

当心了,HTC多部手机存在重大安全隐患

- geek2live - 36氪
如果你正在使用的HTC手机的型号是EVO 3D, EVO 4G和Thunderbolt等,那你要小心了. 因为,HTC手机上普遍安装的Sense UI中的记录工具存在严重漏洞. 手机上的应用获取访问互联网的权限后,记录工具将同时允许这些应用访问其他数据,包括账户列表中的电子邮箱地址和同步状态、通讯录中的电话号码、存储的短信等隐私数据,以及处理器,内存和电池等硬件配置信息.

Metasploit Framework 4.0发布,开源的安全漏洞检测工具

- Tairan Wang - ITeye资讯频道
Metasploit是一款开源的安全漏洞检测工具,由于是免费的,因此常被安全工作人员用来检测系统的安全性. Metasploit Framework (MSF)是2003 年以开放源代码方式发布、可自由获取的开发框架,这个环境为渗透测试、shellcode 编写和漏洞研究提供了一个可靠的平台. 这个框架主要是由Ruby编写的,并带有一些C语言和汇编语言组件.

Pod2g发现iPhone多年的安全漏洞

- - 快乐无极的博客
  Pod2g宣布已发现iOS中的一个安全漏洞,可以用来进行SMS短信造假. 这个漏洞从第一代iPhone就开始存在,直到iOS 6 beta 4还没有被修复.   短信在有效载荷过程中的一个环节叫做UDH,这个UDH是任意的,但是限定了许多先进的功能不跟所有的移动设备兼容. 其中有一个功能是让用户更改短信的回复地址.

因安全漏洞,微软建议用户禁用 Windows Gadgets

- - LiveSino - LiveSide 中文版
本周初微软发布了一则 安全公告,告知用户可能会因为“不安全”的 Windows Sidebar 和 Gadgets 恶意代码而受到攻击. Computerworld 称研究员将在本月底的 Black Hat 大会上公开这些安全漏洞. 微软暂时给出的解决方案是:禁用 Windows Sidebar 和 Gadgets 小工具功能.

JavaScript 常见安全漏洞及自动化检测技术

- - IBM developerWorks 中国 : 文档库
随着 Web2.0 的发展以及 Ajax 框架的普及,富客户端 Web 应用(Rich Internet Applications,RIA)日益增多,越来越多的逻辑已经开始从服务器端转移至客户端,这些逻辑通常都是使用 JavaScript 语言所编写. 但遗憾的是,目前开发人员普遍不太关注 JavaScript 代码的安全性.

OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測

- - Tsung's Blog
OpenSSL 爆發出嚴重的安全性漏洞, 請趕快檢測 + 升級.. OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測. 關於此次事件, 此篇文章: OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞, 寫的非常清楚, 在此就不詳述, 再此摘錄部份說明: (感謝 Allen Own).