1. PTT
  2. MobileComm

[新闻] Google在三星新旗舰S6 Edge中发现严重漏洞

楼主: Rigaudon (四海之内反***者皆朋友)   2015-11-04 16:29:38
http://goo.gl/Fn9bxU
Google在三星新旗舰S6 Edge中发现严重漏洞
据国外媒体报导,Google的Android查漏团队今日宣布在三星高阶旗舰智慧
手机Galaxy S6 Egde所用软件发现了11个可利用的漏洞,其中包括不少高度
危险级漏洞。
现在,Google在保证Android安全性方面所面临的挑战,比微软在10多年前
为保证Windows XP安全性上所面临的挑战更大,因为Google对Android系统
的控制力比微软当年对Windows XP系统的控制力低得多。
正如Google Project Zero团队自己所说,Android客制方是Android安全研
究的一个重要领域,因为他们会在最高权限级别向Android设备中添加各种
程式码,而那些程式码可能包含安全漏洞,而且他们提供给设备电信商安全
升级的发布频率,也是由各家Android厂商自己决定的。
Google的 Project Zero团队用了一周的时间来检查Galaxy S6 Edge所用的
Android系统,挑战了Android系统中最容易受到攻击的安全漏洞,目的是看
他们是否能够在无用户参与的情况下远程获取用户的联系人、照片和短信等
资料;
另外,Project Zero团队还利用Google Play安装的一款不需要用户授权的
应用去尝试攻击Android系统;最后还对恢复出厂设置但仍然存在安全漏洞
的设备进行了攻击。
Project Zero团队发现,三星在Android系统中添加了一个具备系统级权限
的流程,用于解压缩从特定网址下载的ZIP文件。Google指出:“不幸地是
, 解锁ZIP文件所用的应用程式接口并没有验证文件通道,因此它可能是在
任何地方编写出来的。只要利用攻击其他目录遍历漏洞所用的技术,就能通
过 Dalvik高速缓冲区攻破这个漏洞。”
三星的电子邮件编码中也存在一个漏洞,该漏洞会导致Android系统在处理
Android策略时不进行认证,这是一个允许各种应用相互传递命令的作业系
统级功能。但是由于没有认证过程,三星的电子邮件软件就会被未获相应权
限的App钻漏洞,从而劫持用户的电子邮件并将邮件发往其他帐户。
Google指出,这个错误会让不法分子轻松获取只有授权应用才能获取的数
据,这也进一步证明了Google对于第三方使用的Android系统没有丝毫的掌
控力。
Google还发现,三星的三款设备存在缓冲区溢出漏洞,这种漏洞有可能被与
多媒体处理有关的漏洞比如libStageFright利用,进而获取访问系统核心的
权限。
三星的图形处理程式码中也被发现存在5个可被利用的漏洞,其中有2个漏洞
会允许攻击者在利用三星Gallery应用打开某个原始图片文件时提升访问权
限,而另外3个漏洞则只要用户下载图片就会被触发。
Google对于自己能在如此短的时间内发现这么多漏洞感到非常意外,它补充
说:“我们甚至发现了3个逻辑问题,这种问题特别令人担忧,因为不法分
子可以在很短的时间内发现和利用这种问题。”
Google指出,三星使用的SELinux让它很难对某些漏洞展开调查,也很难判
定设备是否会因此受到攻击,但是它还发现了可以被用来禁用SELinux的3个
漏洞,因此这并非缓解所有漏洞的有效方式。
三星和Google一直在努力修补已经被发现的最严重的漏洞,但是Google只用
了一周时间就发现如此多的高危级漏洞也证明了安全工作的困难性和严重性
,因为S6 Edge可是三星这个最大的Android客制方推出的最高阶手机。
Android 的安全问题从2011年起就变得越来越复杂了,当时北卡州大学的研
究员们指出,由于HTC、三星、摩托罗拉甚至Google自己的Nexus手机在设备
中添加的其他软件存在漏洞,结果导致Android基于批准的安全系统可以被轻
易绕过。研究员们还实际展示了绕过Android安全系统的过程。
北卡州大学的研究员们表示:“将这些问题报告给Android厂商后,我们在
HTC和三星那里遇到了巨大的阻力,它们一直无动于衷,根本不重视我们的
报告和质询。”
Google自己的Android系统中的漏洞也是一个严重的问题,而且这个问题还
因为没有用户能够将设备所用的Android系统升级到最新版本而变得更加复
杂。现在,还有四分之三的Android设备使用的是Android 5.0 Lollipop以
前的版本。
2014 年夏季,Google首席执行官桑达尔·皮查伊(Sundar Pichai)推出了
附带三星Knox安全软件的Android 5.0。虽然看到只有四分之一的用户选择
了去年发布的Android 5.0,Google还是在一年之后发布了另一个新版本的
Android。
最新版本的Android软件刚一推出就因为三星自己添加的程式码而存在如此
多的高度危险级漏洞,这是多么地具有讽刺意味啊。
心得:
不晓得google特地去桶三星这一刀是为了什么理由XD,还是觉得S6 edge是
目前尚市面上最贵的android手机,所以应该要最安全的才对吗?不过看起
来结果是出乎google自己的意料之外,不仅发现了不少高危险的漏洞,而且
有不少还是三星独有的,连三星自己的安全系统都无法有效挡下,看来最近
三星工程师的肝要注意一点了XD
继续阅读
[问题] samsung s6 chrome 分页skybird0414[闲聊]这app或许会是你在手机上玩的最后一款游戏MadMac[新闻] 三星J3手机现踪FCC 上市脚步已近Rigaudon[闲聊] 你们用平板看电子书还是纸本??wiogoar[问题] ZL电池问题asdzxc8024[问题] sony z3没温度显示polymer520[情报] htc A9有系统更新lonewulfen[问题] 神续航换电池快充哪个比较实在leo255261[情报] 售价 3,290 元起,Acer 一举在台湾发表四star1416Re: [问题] LG G3 vs. ZF2 ZE551ML hedonic

Links booklink

Contact Us: admin [ a t ] ucptt.com