-
-
Android又爆重大漏洞:谁之祸根,谁该庆幸
-
发表于: 2014-7-31 15:24 745
-
- 新闻链接:http://www.freebuf.com/news/39599.html
新闻时间:2014-07-24
新闻正文:
Android又爆重大漏洞:谁之祸根,/CENTER]
引言
当看到这则消息的时候,确实感受到一股莫名的气流在涌动,造成这种气流的主要原因是,有些人在笑、有些人在闹、有些人发愁、有些人则开始策划着什么。目前具体漏洞信息还没有公布,等待黑帽大会上的披露。
谁会着急?消费者,厂商。因为担心的是,消费者会因此对自己手中的Android设备产生质疑,从而影响到自己产品的市场销量。
谁会笑?
安卓的竞争对手会偷笑。
Google Play在微笑。由于Android系统的开源性,所以手机厂商可以选择是否使用官方的Google Play应用程序商城,加上国内对于Google Play的一些限制,导致国内上市的产品,清一色的或者拿掉Google Play,或者降低Google Play的重要性,并采用厂商自主的应用程序商城或者第三方商城。倘若有人利用这个漏洞,就体现了Play对应用安全的审核力度,会有一种很好的宣传。
去年7月,Android也出现了特大漏洞
根据外媒报道,移动安全公司BlueBox发布消息,Android出现严重漏洞,涉及过去4年发布的9亿台Android设备。除了第三方的应用商城,各个手机安全的APP也同样有机会来提升自己的声量,道理等同于上述。(来自21CN)
移动安全公司BlueBox发布消息,Android出现严重漏洞,涉及过去4年发布的9亿台Android设备。黑客通过不改变秘钥的前提下,修改APK开发包,从而植入木马,来操作Android设备,比如开关摄像头,发送短信等等。这意味着用户的隐私完全暴露在黑客的控制之中。(来自天极网) 7月29日
据国外媒体报道,根据发布的一项研究,谷歌的安卓操作系统可能存在安全漏洞,这将使得黑客可以冒充被信任的应用程序并潜在的窃取你的手机或平板电脑信息。本质问题在于安卓检查——或者确切来说是不检查——某些应用程序真实性的方式,因此这一漏洞也获得了一个醒目的名字——“假ID”,做公司移动数据保护的隐形公司Bluebox Security这样说道。 验证身份是在线网络最重要的问题之一,登陆某银行账户的人是否就是账户所有者?总部位于旧金山的Bluebox公司主要是帮助公司保护移动设备上的数据,公司员工也在调查和理解Bluebox所基于的移动操作系统构架,公司首席技术官杰夫·佛利斯塔尔(JeffForristal)这样表示。每一个安卓应用程序都有自己的数字签名,本质上来说就是一张ID卡。例如Adobe系统在安卓系统上有一个特殊的签名,所有Adobe的程序都有基于这一签名的ID。Bluebox公司发现,当一个应用程序闪射一个AdobeID,安卓并不会与Adobe核查这是否是真实的ID。这意味着一个恶意用户可以基于Adobe的签名创造一个恶意软件并植入你的系统。这个问题并不只是Adobe系统特有,黑客可以创造一个恶意应用程序冒充谷歌钱包,然后获得付款和财务数据。相同的问题也出现在某些设备上的管理软件,这使得黑客可以完全控制整个系统。“本质上来说,我们发现了一种制造虚假ID的方法,”佛利斯塔尔这样说道。“很多黑客都能够创造假ID卡,但问题是他们创造的是哪一种虚假ID
卡?”这一缺陷会影响安卓2.1以上系统,尽管最新的系统4.4或者称KitKat已经修复了这一漏洞,因为这个系统与Adobe相关,据Bluebox表示。从2012年至2013年,大约14亿新的设备装有安卓操作系统,据市场研究机构Gartner公司表示。Gartner估计今年将有11.7亿个安卓设备。安卓系统的这一弱点展示了安全研究人员和谷歌是如何处理软件或者程序里发现的漏洞。它还暗示了处理影响安卓系统的弱点的复杂性,因为修复需要的不仅仅是谷歌的相关调整,它还涉及不同的软件开发者和设备制造商。据佛利斯塔尔表示,Bluebox在三月下旬完成了这项调研并于3月31日将漏洞递交给谷歌。安卓安全小组在4月开发了修复的方法并将补丁交给供应商,在Bluebox发布它们的发现之前,供应商有90天的时间实施这一修复。Bluebox已经测试了市场里6300多个产品里的40个安卓设备。Bluebox计划在下周美国拉斯维加斯召开的“黑帽”安全技术大会上讨论他们的发现。
7月30日
研究人员称,谷歌(微博)的Android操作系统存在漏洞,网络犯罪分子可利用此漏洞窃取Android移动设备使用者的个人信息。
网络安全公司BlueboxSecurity的研究人员警告称,黑客通过制造一个冒牌的验证代码,令他们伪装成为一个具有良好口碑的应用程序。这一转变可以让他们在移动设备中进入自由,并窃取数据。
BlueboxSecurity称,其已经在今年4月份将此漏洞报告给谷歌公司。随后,谷歌也向其所有的Android设备合作伙伴提供了相应的补丁。不过,任何尚未升级到最新版本的Android操作系统仍有被攻击的危险。Bluebox首席技术官、研究组负责人杰夫•弗里斯塔尔(JeffForristal)表示,虽然现在还没有发现有网络犯罪分子利用这一漏洞作案的迹象,但99%的Android设备极易受到攻击。
弗里斯塔尔说:“不法分子利用这一漏洞可以接管一个特定的应用、或整个设备,当然也包括用户储藏其中的数据。因此,网上银行、工作邮箱都有危险。归根结底在于用户所使用的设备。”虽然媒体无法独立证实Bluebox的说法,但谷歌已经承认了其软件确实存在这一漏洞。谷歌说,在接到报告后,公司已经向所有的合作伙伴以及Android开放源代码项目发送补丁。此外,谷歌在声明中还称:“我们已经扫描了GooglePlay中所有提交的应用,目前尚无发现有人利用这一漏洞的证据。”
结尾
关于谷歌的广告,由于搜索引擎记录过我的浏览记录,所以在大数据下,我们浏览过的信息,都会成为互联网上可以利用的资源。于是乎,每天收到数十条广告短信,所以可以说,我们的隐私已经暴露在大庭广众之下,即使Android系统有漏洞能让消费者的隐私曝光,其实对于我们来说,差不多也就是把你最后定的内裤换成遮羞布吧。
赞赏
看原图
赞赏
雪币:
留言: