Google 修复了影响 Pixel、Nexus 手机的致命加密 Bug
Google 本周发布了 12 月份的 Pixel/Nexus 安全公告,其中修复了一处致命的加密问题,一同释出的还包括其它 49 个补丁程序。
这些漏洞中有 5 个属于高危,包括 1 个 EoP 漏洞(CVE-2017-13167)和 4 个 DoS 漏洞。而唯一的致命漏洞(CVE-2017-14907)则与 “高通闭源组件” 存在关联,该漏洞会削弱手机的加密强度。
CVE-2017-14907 的描述中写道:“对于 Android MSM、Firefox OS MSM、QRD Android 和基于 CAF Linux 内核的 Android 版本,在密钥派生的过程中会降低手机的加密强度。”
Android CAF(Custom Android Firmware)是为支持高通芯片组而开发的 Linux 内核分支。而高通 MSM 芯片是为旧型号的高端手机生产的处理器,Android MSM、Firefox OS MSM 和 QRD(Qualcomm Reference Design)Android 都属于 Android 的项目,用于扩展对高通 MSM 芯片的支持。
据知情人士透露,该漏洞是在 5 月份时发现的,高通当时就进行了修复并将更新发给了相关合作厂商。而高通也拒绝就此漏洞发表评论。
此外,Pixel/Nexus 安全公告恰好是和 Android 安全公告同一天发布的,后者包含 47 个补丁,其中有 10 个属于高危。最严重的是 Media 框架中的一个安全漏洞,攻击者可以借助精心构造的文件在特权进程的上下文中实现任意代码执行。
这些受影响的 Media 框架编解码器是 libmpeg2、libhevc、libavc 和 libskia,相应的漏洞编号为:CVE-2017-0872、CVE-2017-0876、CVE-2017-0877、CVE-2017-0878 和 CVE-2017-13151。
Google 在 Android 安全公告中同样提到了高通关键组件漏洞,其中有 3 个也与 RCE 有关,其它受影响厂商还包括 Broadcom、MediaTek 和 NVIDIA。
目前补丁已经通过相关厂商进行了推送,用户应尽快更新。
原文链接:https://threatpost.com/google-patches-critical-encryption-bug-impacting-pixel-nexus-phones/129100/
本文由看雪翻译小组 BDomne 编译
虚拟键盘APP 超过3千万用户记录泄露
近日,又发生一起数据泄露事件,键盘APP——AI.type 所收集的用户个人数据泄露。
Kromtech Security Center 的一些安全研究员在网上偶然发现超过3千万该软件用户的个人数据。这些数据位于 MongoDB 数据库,完全暴露在网上,并无任何保护机制。
这个配置错误的MongoDB 数据库似乎属于Ai.Type,一个电话 Aviv-based 的创业公司, 为移动设备和平板电脑设计和研发个性化的键盘,包括 Android 和 iOS 设备。
此次共有约577G数据泄露,其中还包括一些用户的敏感信息,安全研究员目前能够获取约31,293,959个用户的数据和细节。
泄露的数据包括:
1. 用户名、电话号码、和邮件地址
2. 设备名称、屏幕分辨率和型号
3. Android版本、IMSI号和IMEI号
4. 移动网络名称、居住地址和用户所使用语言
5. IP地址,GPS地址(经纬度)
6. 社交账号相关链接和信息,包括生日、邮件和照片
让人震惊的是,用户下载Ai.Type时,必须允许该设备可以访问存储在该设备上的所有数据。
为什么一个键盘和表情应用程序需要收集用户手机或平板电脑的所有数据呢?
泄露的数据库包含6,435,813 个记录是用户的通讯录信息,还有超过3亿7千3百万注册用户的手机信息,其中包括所有的通讯录和同步的Google账户。
还有一系列其他统计数据, 如最受欢迎的用户对不同地区的 Google 查询。数据如每天的平均消息、每条消息的单词、用户的年龄等等。
这些数据对这款键盘软件而言不是必需品。那为什么一个键盘和表情应用程序需要收集用户手机或平板电脑的所有数据呢?这一点让人困惑。
这个故事告诉我们,每当我们下载一个APP,我们被攻击的可能性就增加一倍。而大多数情况下,用户并不清楚该软件究竟收集了多少数据,而这些数据会被用来做什么。
来源:securityaffairs
本文由看雪翻译小组 哆啦咪 编译
[课程]Android-CTF解题方法汇总!