以人(rén)為(wèi)本,本在↑π✘心;以厚為(wèi)道(dào),道(dào)在行(xíng)
發布時(shí)間(jiān):2015-08-09 ♠π'♥來(lái)源:雷鋒網
據Yahoo新聞消息,安全研究員(yuán)發現(xiàn)Android新漏洞Certifi-gate,并表示該漏洞在所有(yǒu) OEM 廠(chǎng)商的(de)設備中都(dōu)有(yǒu)出現πδ♣(xiàn)。
Android最近(jìn)确實比較慘,在過去(qù)2周時(shí)間(jiān)裡(lǐ),它至少(↓✔π shǎo)被發現(xiàn)了(le)2個(gè)嚴重漏洞。現(xiàn)在,來(lái)自φ£(zì)安全公司Check Point的(de)Ohad Bobrov和(hé)Avi Bashan又(yòu)發現(xiàn)了(le)一(yī)個(gè)新的(de)漏洞:Certifi-gate。據說(shuō),這(zhè)個(gè)漏洞在所有(yǒu)OEM廠(chǎng)商的(de)設備中都(dōu)有(yǒu)出現(φ♦♥↕xiàn),它讓第三方程序插件(jiàn)通(tōng)過Remote Support得(de)到(dào)存取權限,控制(zhì)設備的(de)屏幕和(hé)使™≠用(yòng)OEM發出的(de)授權證書(shū)。
據悉,這(zhè)兩位安全研究人(rén)員(yuán)發現(xiàn)mRSTs(移動遠(yuǎn)程支持工(gōng)☆'♠&具,能(néng)夠遠(yuǎn)程訪問(wèn)手機(jī)、錄制(zhì)用(yòn↔≤€✔g)戶輸入內(nèi)容并截圖)所表現(xiàn)出來(lái)的(de)功能(nα☆éng)與一(yī)款叫作(zuò)mRATs(移動遠(yuǎn)程訪問(wèn)木(m ✘©ù)馬)的(de)惡意軟件(jiàn)非常相(xiàng)似,最大( dà)的(de)區(qū)别隻是(shì)是(©σ↓shì)否出于犯罪目的(de)而開(kāi)發。mRATs則需要(yào)用(yòng)戶安裝才會(huì)發揮功效Ωσ•,而mSRTs卻是(shì)由OEM預裝。
由于mSRTs不(bù)僅擁有(yǒu)強大(dà)的 ™(de)功能(néng)且極富攻擊性,軟件(✔↓jiàn)需要(yào)獲得(de)特别權限并由OEM簽署才行(xíng)。于是(shì),軟件(jiàn)就(jiù)被分(fēn)成了(÷∞§le)“用(yòng)戶實際看(kàn)到(dào)"↑的(de)軟件(jiàn)”和(hé)“ ♦ 提供權限的(de)後端插件(jiàn)”兩部分(fēn),當需要(yào)獲得✔λ↓δ(de)特别權限時(shí),軟件(jiàn)要(÷ yào)先連接到(dào)插件(jiàn)(插件(jiàn)即便在沒有(yǒu)Ω↕安裝該類型軟件(jiàn)的(de)手機(jī)上(shàng)也(yě)π↔δ可(kě)能(néng)已包含)。
Check Point技(jì)術(shù)領導人(rén)物(wù)Avi Bashan透露,此漏洞是(shì)源自(zì)Android的(de)安全結構問(wèn)題,OEM們所開(kāi)發的(de)遙距控制(zhì)工(gōng)具讓這(zhè)漏洞被揭露,因為(≤÷wèi)Android設備的(de)更新周期相(xiàng)距較長(cháng),這(zhè)些(xiē)嚴重的>Ω±(de)漏洞未必能(néng)在短(duǎn)期內(nèi)被完全修補。據說(shu$₩₩±ō),這(zhè)回三星、HTC、LG、華為(wèi)、聯想一(yī)個(gè≈)都(dōu)沒跑兒(ér),而谷歌(gē)旗下(xià)的(de)Nexus設備則未受波及。
當下(xià)最好(hǎo)的(de)解決方案也(yě± γΩ)許就(jiù)是(shì)為(wèi)插件(jiàn)和(hé)軟件(jiàn)之間(jiān)€β的(de)連接開(kāi)發出一(yī)套更好(hβ₽ǎo)的(de)驗證系統。當然啦,要(yào)是(shì)對(duì)拍(pāi)磚遊戲有(y• ǒu)特别好(hǎo)感的(de)話(huà) 各位也(yě)可(kě)以自(zì)行(xíng)想辦法解決。