1.媒体来源:
iThome
2.完整新闻标题/内文:
IBM:Android 4.3含安全漏洞,金钥有外泄之虞
IBM安全研究人员揭露,代号为Jelly Bean的Android 4.3中的KeyStore服务含有安全漏洞
,可能造成使用者储存于该软件中的金钥外泄。
KeyStore是Android平台上专门用来储存各种程式金钥或密码的服务,以让使用者在登入
程式时不需重新键入密码。
不过,IBM安全研究人员发现,KeyStore有一堆积缓冲溢位漏洞,骇客可能藉以存取
KeyStore中所储存的各式金钥,或是以使用者身份登入相关服务。幸好Android平台内建
许多安全机制,提高了攻击门槛。
企图攻击该漏洞的骇客必须先打造一支恶意程式,然后说服使用者下载及安装,也必须绕
过Android上的DEP、ASLR、Stack Canaries等安全机制,即使到达了KeyStore,也不一定
能存取KeyStore储存的所有金钥。
IBM是在9个月前发现此一漏洞,当时先告知了Android安全团队,此一漏洞仅影响
Android 4.3,在Android 4.4中已修补该漏洞。但根据Google的统计,目前市场上仍约有
10.3%的Android装置执行该版本的作业系统。(编译/陈晓莉)
3.新闻连结:
http://www.ithome.com.tw/news/89071
4.备注:
想更新?
你还要看厂商脸色要不要给你更新呢...