欢迎光临 小米棋牌

足球赛事

您现在的位置是:主页 > 农业动态 > 漏洞警告:安卓系统再曝“小米棋牌证书门”

农业动态

漏洞警告:安卓系统再曝“小米棋牌证书门”

发布时间:Sep 15, 2020农业动态 阅读 8502 次小米棋牌
就在安卓系统曝出Stagefright漏洞仅仅一周之后该漏洞让黑客仅发送一条短信就能对运行谷歌移动操作系统的手机发起攻小米棋牌击现在又有新的问题浮出水面,研究人员称,它将让更多通

  就在安卓系统曝出Stagefright漏洞仅仅一周之后该漏洞让黑客仅发送一条短信就能对运行谷歌移动操作系统的手机发起攻小米棋牌击现在又有新的问题浮出水面,研究人员称,它将让更多通过短信黑进数亿台手机的攻击方法成为可能。

  据以色列安全研究人员奥哈德博布罗夫和艾维巴山称,主要问题就出在谷歌合作伙伴使用证书给远程支持工具签名的方式上。此类证书本应该用来保证应用的真实性,进而让它们能够访问安卓系统的其他位置。然而,通过博布罗夫和巴山小米棋牌发现的漏洞,黑客可以克隆那些证书并恶意使用。这两位来自Check Point的计算机高手指出,尽管克隆证书能够被撤销,但那并不是正确的解决方案,因为那也意味着撤销原始设备制造商的官方证书。

  博布罗夫和巴山声称,黑客至少可以通过两种方式利用这个漏洞来入侵远程访问工具这些工具本应该是远程使用手机的实用插件,而且被安装在多达90%的安卓手机上。主要原始设备制造商出品的所有安卓设备都存在这个漏洞,大概有好几亿台。他们告诉福布斯,并称这些制造商至少包括LG、联想、HTC、华为以及三星。

  第一种攻击方法涉及使用社交工程手法诱使攻击目标下载安装一款恶意应用,或者是把该应用置于Google Play商店。周四,在这两位研究人员开始自己的黑帽大会证书门研讨会之前,他们向福布斯演示了这样的应用,它是一款手电筒工具,看起来是合规的,需要的权限也很少。不过,该应用可以使用一种特制的证书轻易模拟成远程访问工具,从而获得手机的完全访问权限,就跟正常的远程支持插件一样。

  更令人担忧的是,攻击者有可能发送短信到手机,迫使那些远程访问工具来执行命令。这让攻击者可以从自己控制的软件这一边向被入侵设备发号施令。应用没有恰当地对命令进行消毒处理。博布罗夫说道。再一次,这能有效地获取设备控制权限,而且不需要用户的参与,类似于Stagefright媒体播放工具在本周打上补丁前所存在的漏洞。

  Check Point表示,要恰当地完全解决这个问题,谷歌的制造商合作伙伴和运营商必须通力合作,对有漏洞的插件进行升级,其中包括TeamViewer、RSupport以及Communitake。

  周四,这家位于特拉维夫的公司发布了一款应用,它可以对存在漏洞的远程访问插件进行扫描,从而检测手机是否已经遭到攻击。该应用是免费的,因此出于安全考虑不妨一试。

  Check Point已经发布了一款扫描器应用,可以对所谓的证书门攻击进行检测。它应该可以替代补丁让用户保护自己。