谷歌亲自来找茬 S6 Edge被指存11处漏洞
据PCWorld网站报道,作为检查手机厂商在Android中增添代码的安全性实验的一部分,谷歌安全研究人员“搜寻”了三星Galaxy S6 Edge智能手机中的安全缺陷。
研究人员在三星的代码中发现11处安全缺陷,这些缺陷能够被黑客用来创建具有系统权限的文件、窃取用户的电子邮件、在内核中执行代码,以及提升非特权应用的权限。
安全人员发表博文称,“总之,我们发现了相当多数量的高危险性问题,尽管Galaxy S6 Edge上部分行之有效的安全措施放缓了我们查找缺陷的速度。安全软肋似乎是设备驱动程序和媒体处理,通过分析代码等手段,我们很快发现了这些方面存在的问题。”
PCWorld表示,三星的代码中还存在3个易于发现和利用的高危险性逻辑缺陷。其中之一是存在于名为WifiHs20UtilityService的三星服务中的路径遍历缺陷。这一服务具有系统权限,能在存储空间的指定位置扫描ZIP文件,并对它进行解压缩。通过利用该缺陷,黑客能使系统文件被写入非计划中的位置。
另外一个缺陷位于三星电邮客户端中,它在处理Intent时不验证其真伪。Intent使应用能向Android OS中的其他应用传递指令。由于三星电邮客户端不对Intent的真伪进行验证,一款没有相应权限的应用可以要求三星电邮客户端把用户的所有电子邮件发送到一个不同的电子邮件地址。
PCWorld称,在由三星增添、而非原生Android代码的驱动程序和图像处理组件中发现了多个问题。通过简单地在设备上下载一张图片,黑客就可以利用其中的3个缺陷。
这次持续一周的实验的目标,是检查Android的安全机制能否阻止黑客利用硬件厂商增添的代码兴风作浪。
研究人员称,Android默认开启的SELinux防御机制提高了攻击设备的难度。但是,3个缺陷使得恶意代码能关闭SELinux,因此它在所有实验中完全不起作用。
PCWorld指出,谷歌已经将发现的所有问题都通报给了三星。除3个危险程度较低的缺陷外,三星在接到通报后的90天内修正了其他缺陷。谷歌研究人员称,“高危险性的缺陷在合理时间内得到修正令人欣慰。”
Android代码也存在缺陷,但谷歌在Android平台上开发了防御和权限控制机制,提高了黑客利用缺陷兴风作浪的难度。
长期以来,第三方研究人员一直警告称,硬件厂商修改Android代码,在其中增添代码,通常会影响其内置的安全机制。
- 相关阅读:
- 海贼王819话剧情分析 和之国武士还隐藏了什么实力?2016-03-11奇迹暖暖12-9公主级怎么搭?12-9公主级搭配推荐2016-03-15熊猫TV女主播打屁股兔兔没穿内裤直播被禁封(图)2016-03-16
- 新闻 娱乐 福建 泉州 漳州 厦门
-
- 珠海市交通运输局原党组成员、副局长周咏文严重违纪违
2025-08-19 11:47 - 池州市政府办公室原副主任杨洞庭严重违纪违法被开除党
2025-08-19 11:46 - 国家疾控局赴佛山工作组专家:基孔肯雅热新发病例持续
2025-08-19 11:46 - 我国从泰国引渡一名经济犯罪嫌疑人 涉案3亿余元人民币
2025-08-19 11:31 - 中共北京市委批准同意追认于鸿庆同志为中共党员
2025-08-19 11:31 - 中央宣传部、国家卫生健康委联合发布2025年“最美医生
2025-08-19 11:31 - 2025年全国“敬老月”将于10月10日至31日期间开展
2025-08-19 11:17
- 珠海市交通运输局原党组成员、副局长周咏文严重违纪违
- 猜你喜欢:
-
苹果获边缘照明器专利:设备边框可发光提醒2025-07-24蚂蚁庄园今日答案最新:明清时期的“紫禁城”是现在的什么?2025-06-16一加15外观首曝:1.5K直屏 告别大圆镜头2025-08-05
- 评论(谷歌亲自来找茬 S6 Edge被指存11处漏洞)已有0条评论