來源
Android最近確實比較慘,在過去2週時間裡,它至少被發現了2個嚴重漏洞。現在來自安全公司Check Point的Ohad Bobrov和Avi Bashan又發現了一個新的漏洞:Certifi-gate。
據說這個漏洞在所有OEM廠商的設備中都有出現,可以讓第三方程序外掛通過Remote Support得到存取權限,控制設備的螢幕和使用OEM發出的授權證書。
根據消息,這兩位安全研究人員發現mRSTs(移動遠程支援工具,能夠遠程訪問手機、錄製用戶輸入內容並截圖)所表現出來的功能與一款叫作mRATs(移動遠程訪問木馬)的惡意軟體非常相似,最大的區別只是是否出於犯罪目的而開發。
mRATs需要用戶安裝才會發揮功效,mSRTs卻是由OEM預裝。
由於mSRTs不僅擁有強大的功能且極富攻擊性,軟體需要獲得特別權限並由OEM簽署才行,於是,軟體就被分成了“用戶實際看到的軟體”和“提供權限的後端外掛”兩部分,當需要獲得特別權限時,軟體要先連接到外掛(外掛即便在沒有安裝該類型軟體的手機上也可能已包含)。
mSRTs的誕生即是為了讓軟體向外掛發送權限請求,然而,商家在Android的Binder上開發了自己的認證工具,這些工具卻沒有屬於自己的認證流程,問題就在於此。研究人員可以通過這一雙重性利用外掛的強大功能獲取訪問設備的權限,而根據研究員的說法,作為使用者無法讓授權證書失效。
Check Point技術領導人物Avi Bashan透露,此漏洞是源自Android的安全結構問題,OEM們所開發的遙距控制工具讓這漏洞被揭露,因為Android設備的更新周期相距較長,這些嚴重的漏洞未必能在短期內被完全修補。
這回三星、HTC、LG、華為、聯想一個都沒跑兒,只有Google旗下的Nexus設備未受波及。
當下最好的解決方案也許就是為外掛和軟體之間的連接開發出一套更好的驗證系統。當然啦,要是對拍磚遊戲有特別好感的話各位也可以自行想辦法解決……
===============================================================
這篇新聞到底是真的還假的 最近頗多Android手機漏洞的新聞
難怪有部分的人比較喜歡原生Nexus手機
還是希望我的手機不會被入侵啦....
本文章最後由( htc讚 )於 2015-8-9 23:46 編輯