Android系统曝出高危漏洞 逾十亿手机存被黑风险

标签: TechWeb | 发表时间:2015-10-02 10:13 | 作者:
出处:http://www.techweb.com.cn/rss/focus.xml

凤凰科技讯 北京时间10月2日消息,据《财富》杂志网络版报道,安全研究人员周四宣布,他们在谷歌Android系统中发现了两个高危漏洞,逾10亿部Android设备面临被黑的风险。

研究人员称,这意味着“几乎每部Android设备”都受到了影响,从Android 1.0设备到最新Android 5.0设备。

攻击者可以利用这些漏洞欺骗用户访问含有恶意MP3或MP4文件的网站。一旦用户预览了受感染的多媒体文件(一般包装成音乐或视频),用户的个人电脑就会迅速被入侵。该问题涉及到Android如何通过媒体播放引擎Stagefright处理这些文件的元数据。

这并不是研究人员首次发现这部分Android代码存在被大范围入侵的风险。今年初,发现这一漏洞的移动安全公司Zimperium zLabs披露了7个严重Stragefright漏洞。这些漏洞能够令黑客通过一条受感染多媒体文本信息劫持多达9.5亿部Android设备。 

最新漏洞被研究人员称之为“Stragefright 2.0”,和首批公布的Stragefright漏洞类似,它能够允许黑客取得对受感染设备的控制权,并访问设备上的数据、照片、摄像头以及麦克风。总体来说,由于新漏洞影响的设备更多,引发的问题更为广泛。

首个新漏洞被标记为CVE-2015-6602,它能影响自2008年第一代Android系统发布后所推出的几乎每一部Android设备;第二个新漏洞被标记为CVE-2015-3876,影响运行Android 5.0及以上版本的设备,而且会让这些问题更易触发。

Zimperium创始人兼董事长祖克·阿拉哈姆(Zuk Avraham)隐藏了特定信息,以防止其他人利用这一漏洞,但他将新漏洞与第一代Stragefright进行了比较。“这是一个同样严重的漏洞,”他表示,“能够产生相同的破坏力。”

谷歌发言人在一封电邮中称,公司已开发了补丁,正等待推送。“包括Zimperium报告的漏洞在内的问题,将在10月5日推出的Android月度安全更新中予以修复,”该发言人称。这就意味着,谷歌将从10月5日开始面向Nexus设备公开推送补丁。

谷歌发言人称,公司已经在9月10日向其Android制造商合作伙伴和运营商提供了修复方案,目前正与后者合作“尽快推送更新”。现在还没有这一漏洞被黑客利用的报道出现。(编译/箫雨) 

蚕豆网微信

相关 [android 系统 漏洞] 推荐:

Android系统曝出高危漏洞 逾十亿手机存被黑风险

- - TechWeb 今日焦点 RSS阅读
凤凰科技讯 北京时间10月2日消息,据《财富》杂志网络版报道,安全研究人员周四宣布,他们在谷歌Android系统中发现了两个高危漏洞,逾10亿部Android设备面临被黑的风险. 研究人员称,这意味着“几乎每部Android设备”都受到了影响,从Android 1.0设备到最新Android 5.0设备.

Android平台漏洞挖掘与利用

- - 外刊IT评论
由于Android平台特殊的生态,每一个Android设备中存在着Google、手机开发商、芯片厂商等多种来源的软件. 每个软件模块没有统一的安全审计制度和测试流程,导致质量良莠不齐,对于安全研究者乃至于恶意攻击者来说,一直是一个比较好的目标. 从安全的角度考虑, Android平台利用Linux的uid特性把权限做了很好的区隔,使得在App层级,权限比较受限,一方面阻隔了许多恶意软件可能造成的破坏,另一方面也限缩了用户能够掌控自己设备的能力.

12306火车订票系统漏洞

- - 蓝飞技术部落格
摘要:铁道部旗下在线购票网站12306自诞生起就一直为人所诟病,网站经常崩溃、UI粗糙、漏洞满框,但这都不是什么新闻了,近日网友爆出12306的技术框架及其表结构,大家可以来一览究竟. 应用服务器:WebLogic. 开发框架:Spring\Hibernate\Struts. 这里可以看到完整的SQL语句:.

Android是个好系统

- - 月光博客
  仅凭一个Android,Google完全有资格领好人卡. 因为Android开源,就可以放心大胆的做各种“美化”、“定制”、“深度定制”. 而Google对这些行为不能抗议、强烈谴责、严正交涉,只能不满和深表遗憾.   对于Android在中国的情况,Williamlong认为:.    @williamlong: 对于互联网公司做手机,我会鄙视那些所谓“深度定制”而实际是删除谷歌帐号的那些平台,这不是国家政策方面的问题,谷歌应用删除了无所谓,用户可以自己安装,但是将谷歌帐号删除掉之后,用户只有通过刷机等复杂操作才能安装谷歌应用商店和其他谷歌应用,这对于用户来说是一种恶意绑架行为.

Android操作系统安全

- - CSDN博客推荐文章
        Android在迅猛发展的同时,其安全问题一直没有引起足够的重视,但在2010年6月研究人员发布Android平台的KernelRootkit以来,Android平台的安全问题引来了越来越多的关注,而同时,Android平台的恶意软件也开始流行起来.        根据以上的Android系统架构分析,可以发现在三个层面可能存在恶意软件.

Android 系统架构分析

- - CSDN博客移动开发推荐文章
Android:开源的 Linux + Google 的封闭软件 + 私有的基带 + 运营商锁定 = 开放的 Android 手机. iPhone:开源的 BSD + 苹果的闭源软件 + 私有的基带 + 运营商锁定 = 封闭的苹果 iPhone. 一个平庸的应用商店,开发者依靠广告赚钱,商店并非独此一家,用户找不到好软件.

Android漏洞影响99%设备 谷歌提供补丁程序

- - TechWeb 今日焦点 RSS阅读
  新浪科技讯 北京时间7月9日晚间消息,国外媒体周一报道称,谷歌已经开发出了移动网络安全公司Bluebox Security所发现的重大Android漏洞的补丁程序,并已将其提供给OEM厂商.   Bluebox Security上周四表示,在Android操作系统中发现重大安全漏洞. 该漏洞允许黑客将当前99%的应用转变为特洛伊木马程序,可能影响到99%的Android设备.

Android WebView 漏洞的利用、局限与终结

- - WooYun知识库
WebView.addJavascriptInterface方法导致的远程代码执行漏洞由来已久,与其相关的CVE有三个( CVE-2012-6636、 CVE-2013-4710、 CVE-2014-1939). 从乌云上暴露的 相关漏洞来看,常见的利用方法就是通过反射获得java.lang.Runtime的实例,然后执行一系列shell命令,从而达到读取联系人、发短信、读写SD卡文件、反弹shell、安装APK等目的,可以参考livers的文章 WebView中接口隐患与手机挂马利用.

你不知道的 Android WebView 使用漏洞

- - CSDN博客推荐文章
现在很多App里都内置了Web网页(Hyprid App),比如说很多电商平台,淘宝、京东、聚划算等等,如下图. Android的WebView 实现的,但是 WebView 使用过程中存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题. Android WebView的使用漏洞 及其修复方式.

android WebView详解,常见漏洞详解和安全源码

- - CSDN博客推荐文章
  这篇博客主要来介绍 WebView 的相关使用方法,常见的几个漏洞,开发中可能遇到的坑和最后解决相应漏洞的源码,以及针对该源码的解析.   转载请注明出处: http://blog.csdn.net/self_study/article/details/54928371.   对技术感兴趣的同鞋加群 544645972 一起交流.