亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

安卓漏洞泄露敏感信息:影響近九成用戶

  IBM的研究人員發(fā)現(xiàn),大約有86%的Android手機(jī)中都存在一個(gè)漏洞。黑客可能借此獲取用戶的敏感信息,包括銀行服務(wù)和虛擬專用網(wǎng)絡(luò)的密鑰,以及用于解鎖設(shè)備的PIN碼或圖形。該漏洞位于Android KeyStore,這是Android系統(tǒng)的一個(gè)敏感區(qū)域,專門用于存儲(chǔ)密鑰和類似的身份信息。借助該漏洞,黑客可以通過執(zhí)行惡意代碼來獲取用戶的敏感信息。

  研究人員稱,谷歌僅在Android 4.4奇巧系統(tǒng)中修補(bǔ)了這一漏洞,其余版本仍會(huì)受到該問題的影響。受影響的用戶在所有Android用戶中的占比大約為86.4%。

  如果黑客想要成功利用這項(xiàng)漏洞,必須克服多項(xiàng)技術(shù)障礙。Android系統(tǒng)采用了現(xiàn)代化的軟件保護(hù)措施,包括數(shù)據(jù)執(zhí)行預(yù)防模式,而且解決了空間布局隨機(jī)化的問題。這兩項(xiàng)功能都會(huì)導(dǎo)致黑客執(zhí)行惡意代碼的難度加大。

  黑客還必須在受到這一漏洞影響的手機(jī)上安裝應(yīng)用。不過,由于存在于Android最為敏感的KeyStore中,所以該漏洞十分嚴(yán)重。

  美國(guó)萊斯大學(xué)計(jì)算機(jī)系教授、Android安全專家丹·沃雷克(Dan Wallach)解釋說:“通常而言,應(yīng)用都會(huì)將認(rèn)證信息存儲(chǔ)在這里,所以如果攻破了KeyStore,那么當(dāng)用戶的手機(jī)上有相應(yīng)的應(yīng)用時(shí),你便可以假扮成手機(jī)用戶登錄該服務(wù)。至少也可以登錄能記住密碼的服務(wù)。這意味著多數(shù)強(qiáng)迫你每次都要輸入密碼的銀行應(yīng)用,或許在應(yīng)對(duì)這一攻擊時(shí)相對(duì)比較安全。”

  黑客可以利用該漏洞進(jìn)入用戶的Twitter賬號(hào)發(fā)布垃圾信息,也可以竊取銀行存款。而如果他們盜取了用戶的VPN認(rèn)證數(shù)據(jù),則可以繞過防火墻展開各種攻擊。

  安全公司viaForensics高級(jí)移動(dòng)安全工程師保·奧利瓦(Pau Oliva)表示,該漏洞還會(huì)造成其他威脅,因?yàn)樗鼘⒃试S黑客接觸到執(zhí)行敏感加密任務(wù)的Android資源。“利用這項(xiàng)漏洞,黑客可以假冒智能手機(jī)所有者生成RSA密鑰,并進(jìn)行簽名和認(rèn)證。”奧利瓦說。

  谷歌可能通過Bouncer服務(wù)為用戶提供額外的保護(hù),但這一機(jī)制經(jīng)常被黑客繞過。由此看來,經(jīng)常利用Android設(shè)備從事資金交易和傳輸重要數(shù)據(jù)的用戶,最好還是在安裝應(yīng)用時(shí)多加小心。在通過Google Play之外的其他渠道安裝應(yīng)用時(shí)同樣應(yīng)格外警惕。

 

上一篇:智能無懼挑戰(zhàn) 山石網(wǎng)科轟動(dòng)RSA2015

下一篇:國(guó)外信息安全專家:云安全擔(dān)心是言過其實(shí)