設為首頁fbYouTubeWhatsapp頻道IG

Post76.hk

搜索
查看: 787|回覆: 0

[手機及平板] [轉載]Android再爆重大漏洞,App認證存安全漏洞

[複製鏈接]

1889

主題

1萬

回帖

0

精華

白鑽玩家

Rank: 13Rank: 13Rank: 13Rank: 13

積分
1121117

76 榮譽慈善家勲章

發表於 2015-8-8 07:46 | 顯示全部樓層 |閱讀模式

如果想睇到更多76師兄嘅分享,快啲登入成為會員啦!

您需要 登入 收看或下載更多內容。還未成為會員?成為會員

x
資安業者Check Point於黑帽大會(Black Hat 2015)上揭露另一個對Android裝置有重大影響的安全漏洞,該漏洞可利用由Android手機製造商或電信業者所認證的不安全程式,以存取手機資訊或安裝後門程式,估計受影響的Android裝置數以億計,影響層面不輸Stagefight。

Check Point說明,此一漏洞存在於遠端支援工具(Remote Support Tools,RSTs)架構上,此一架構專供Android裝置製造商或電信業者在手機上安裝各種遠端控制工具,或是提供個人化的技術支援。然而,該架構卻出現了多個認證門(Certifi-gate)漏洞,允許駭客冒充原始的遠端支援服務商而取得該裝置的系統特權。

駭客可藉由認證門漏洞,讓惡意程式悄悄取得幾近不受限的裝置存取能力,將權限擴張到可存取使用者資訊,或是執行通常只有使用者才能執行的功能。麻煩的是,這些含有漏洞的第三方RST程式通常都是由製造商或是電信業者預裝在Android裝置上,提高了修補的困難度,也很難被移除。

Check Point在黑帽大會上展示了兩種攻擊手法,一是安裝一個只有少許權限的程式,但之後卻能藉由漏洞讓該程式搖身一變成為可完全掌控裝置的程式,其次是只要傳送一則文字簡訊就能迫使RST程式執行任何指令。

使用者也許並不知道自己的Android裝置是否安裝了RST程式,為此Check Point釋出認證門掃瞄器(Certifi-gate Scanner),協助分析使用者的Android手機或平板電腦是否含有認證門漏洞,並提供相關漏洞的說明與建議。

值得慶幸的是,Check Point先前便已將該漏洞提報給Google、三星、HTC、華為及電信業者,且多數業者皆已修補,但估計目前還有數百萬台Android裝置含有相關漏洞。
您需要登錄後才可以回帖 登錄 | 成為會員

本版積分規則  允許回帖郵件提醒樓主

重要聲明:本討論區是以即時上載留言的方式運作,Post76玩樂討論區對所有留言的真實性、完整性及立場等,不負任何法律責任。而一切留言之言論只代表留言者個人意 見,並非本網站之立場,讀者及用戶不應信賴內容,並應自行判斷內容之真實性。於有關情形下,讀者及用戶應尋求專業意見(如涉及醫療、法律或投資等問題)。 由於本討論區受到「即時上載留言」運作方式所規限,故不能完全監察所有留言,若讀者及用戶發現有留言出現問題,請聯絡我們。Post76玩樂討論區有權刪除任何留言及拒絕任何人士上載留言 (刪除前或不會作事先警告及通知 ), 同時亦有不刪除留言的權利,如有任何爭議,管理員擁有最終的詮釋權 。用戶切勿撰寫粗言穢語、誹謗、渲染色情暴力或人身攻擊的言論,敬請自律。本網站保留一切法律權利。權利。
快速回復 返回頂部 返回列表