您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
新鲜 正文
发私信给喵酱
发送

8

Android没救了?新漏洞竟由OEM预装

本文作者: 喵酱 2015-08-09 11:30
导语:安全研究员发现Android新漏洞Certifi-gate,并表示该漏洞在所有 OEM 厂商的设备中都有出现。

据Yahoo新闻消息,安全研究员发现Android新漏洞Certifi-gate,并表示该漏洞在所有 OEM 厂商的设备中都有出现。

Android没救了?新漏洞竟由OEM预装

Android最近确实比较惨,在过去2周时间里,它至少被发现了2个严重漏洞。现在,来自安全公司Check Point的Ohad Bobrov和Avi Bashan又发现了一个新的漏洞:Certifi-gate。据说,这个漏洞在所有OEM厂商的设备中都有出现,它让第三方程序插件通过Remote Support得到存取权限,控制设备的屏幕和使用OEM发出的授权证书。

据悉,这两位安全研究人员发现mRSTs(移动远程支持工具,能够远程访问手机、录制用户输入内容并截图)所表现出来的功能与一款叫作mRATs(移动远程访问木马)的恶意软件非常相似,最大的区别只是是否出于犯罪目的而开发。mRATs则需要用户安装才会发挥功效,而mSRTs却是由OEM预装。

Android没救了?新漏洞竟由OEM预装

由于mSRTs不仅拥有强大的功能且极富攻击性,软件需要获得特别权限并由OEM签署才行。于是,软件就被分成了“用户实际看到的软件”和“提供权限的后端插件”两部分,当需要获得特别权限时,软件要先连接到插件(插件即便在没有安装该类型软件的手机上也可能已包含)。

mSRTs的诞生即是为了让软件向插件发送权限请求。然而,商家在Android的Binder上开发了自己的认证工具,这些工具却没有属于自己的认证流程,问题就在于此。研究人员可以通过这一双重性利用插件的强大功能获取访问设备的权限,而根据研究员的说法,作为使用者无法让授权证书失效。

Check Point技术领导人物Avi Bashan透露,此漏洞是源自Android的安全结构问题,OEM们所开发的遥距控制工具让这漏洞被揭露,因为Android设备的更新周期相距较长,这些严重的漏洞未必能在短期内被完全修补。据说,这回三星、HTC、LG、华为、联想一个都没跑儿,而谷歌旗下的Nexus设备则未受波及。

当下最好的解决方案也许就是为插件和软件之间的连接开发出一套更好的验证系统。当然啦,要是对拍砖游戏有特别好感的话各位也可以自行想办法解决……

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

精神病喵

这个作者很捞逼,雷锋网拒绝为其负责=_=
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说