亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

安全研究員發(fā)現(xiàn)Android新漏洞

Android在近段時(shí)間的日子并不好過(guò),在過(guò)去2周時(shí)間里,它至少被發(fā)現(xiàn)了2個(gè)嚴(yán)重漏洞?,F(xiàn)在,來(lái)自安全公司Check Point的Ohad Bobrov和Avi Bashan又發(fā)現(xiàn)了一個(gè)新的漏洞—Certifi-gate。獲 悉,這兩位安全研究人員發(fā)現(xiàn)移動(dòng)遠(yuǎn)程支持工具(mRSTs)所表現(xiàn)出來(lái)的功能跟一款叫做移動(dòng)遠(yuǎn)程訪問(wèn)木馬(mRATs)的惡意軟件非常相似,最大的一個(gè)區(qū) 別則是前者并非出于犯罪的目的而開發(fā)。mSRTs能夠遠(yuǎn)程訪問(wèn)手機(jī)、錄制用戶輸入內(nèi)容及截圖。mRATs這款惡意軟件顯然需要用戶安裝才會(huì)發(fā)揮功效,而 mSRTs卻是由OEM預(yù)裝。

存有這種現(xiàn)象的OEM有三星、HTC、LG、華為、聯(lián)想。

想 要知道這個(gè)漏洞如何工作,首先我們得了解mSRTs的工作機(jī)理。由于mSRTs極富攻擊性以及擁有強(qiáng)大的功能,所以軟件需要獲得特別權(quán)限并由OEM簽署才 行。這樣,這套工具就被分成了兩部分:用戶實(shí)際看到的軟件、提供權(quán)限的后端插件。當(dāng)軟件需要獲得特別權(quán)限時(shí),它需要連接到插件。即便沒有安裝該類型軟件的 手機(jī)也可能包含這一插件。

為了讓軟件向插件發(fā)送權(quán)限請(qǐng)求,mSRT軟件就此誕生。商 家在Android的Binder上開發(fā)了自己的認(rèn)證工具,然而這些工具并沒有屬于自己的認(rèn)證流程。于是問(wèn)題就此產(chǎn)生。研究人員可以通過(guò)這一雙重性利用插 件的強(qiáng)大功能獲取訪問(wèn)設(shè)備的權(quán)限,在某些情況下,甚至只需要一條簡(jiǎn)單的文本信息。

想要解決問(wèn)題其實(shí)也很簡(jiǎn)單,但卻會(huì)帶來(lái)災(zāi)難性的后果—手機(jī)變磚。當(dāng)下最好的解決方案也許就是為插件和軟件之間的連接開發(fā)出一套更好的驗(yàn)證系統(tǒng)。

上一篇:天津銀行攜手趨勢(shì)科技守護(hù)郵件安全 DDEI沙箱技術(shù)斬?cái)郃PT攻擊入口

下一篇:特斯拉被曝6大漏洞