谷歌漏洞計劃曝光,三星、LG等品牌均受惡意軟件影響
原標題:三星小米等廠商均受影響,谷歌披露威脅數(shù)百萬安卓設(shè)備的高危漏洞
12 月 3 日消息:谷歌安卓合作伙伴漏洞計劃(APVI)網(wǎng)站上的一個新帖子中,曝光了一個影響數(shù)百萬安卓設(shè)備的安全漏洞。黑客利用該漏洞,就能夠在三星、LG、小米等諸多 OEM 廠商品牌手機中植入惡意軟件。而且這些惡意軟件可以獲得系統(tǒng)級別的最高權(quán)限。
IT之家了解到,這個安全漏洞的關(guān)鍵就是平臺證書。谷歌員工和惡意軟件逆向工程師盧卡茲?塞維爾斯基(?ukasz Siewierski)率先發(fā)現(xiàn)了這個證書問題,他表示這些證書或簽名密鑰決定了設(shè)備上安卓版本的合法性。供應(yīng)商也使用這些證書來簽署應(yīng)用程序。
雖然安卓系統(tǒng)在安裝時為每個應(yīng)用程序分配了一個獨特的用戶 ID(UID),但共享簽名密鑰的應(yīng)用程序也可以有一個共享的 UID,并可以訪問對方的數(shù)據(jù)。而通過這種設(shè)計,與操作系統(tǒng)本身使用相同證書簽署的應(yīng)用程序也能獲得同樣的特權(quán)。
而問題的關(guān)鍵是,部分 OEM 廠商的安卓平臺證書泄露給了錯誤的人。這些證書現(xiàn)在被濫用于簽署惡意應(yīng)用程序,使其具有與安卓系統(tǒng)相同的權(quán)限。這些應(yīng)用程序可以在受影響的設(shè)備上可以不和用戶交互,直接獲得系統(tǒng)級權(quán)限。因此安卓設(shè)備一旦感染,就能在用戶不知情的情況下獲取所有數(shù)據(jù)。
來源:IT之家
IT時代網(wǎng)(關(guān)注微信公眾號ITtime2000,定時推送,互動有福利驚喜)所有原創(chuàng)文章版權(quán)所有,未經(jīng)授權(quán),轉(zhuǎn)載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年,直通硅谷,專注于TMT領(lǐng)域早期項目投資。LP均來自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個人。創(chuàng)客100創(chuàng)投基金對IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點。
熱門文章
精彩評論
小何華為現(xiàn)在牛的不只是設(shè)備商了,,華為的手機現(xiàn)在也是全球銷量不錯,國內(nèi)也算是老大了,之前用小米,,現(xiàn)在都改華為了。。產(chǎn)品確實不錯。- 小何三星手機在中國還有市場嗎?看看現(xiàn)在滿大街的vivo和oppo ,,華為,,小米線下店,,就是知道三星的市場基本沒有了。。
- 小何滴滴打車現(xiàn)在也沒有之前那么火了,,補貼也少了。。
來自: 【人物】滴滴創(chuàng)始人程維回顧與Uber競爭:中國互聯(lián)網(wǎng)從來沒有輸過--IT時代網(wǎng)
- 小何今日頭條要把騰訊的地方各頻道給霸占了。。
來自: 少年頭條對壘中年騰訊:解局兩代互聯(lián)網(wǎng)公司商業(yè)之戰(zhàn)--IT時代網(wǎng)