谷歌亲自来找茬 S6 Edge被指存11处漏洞
据PCWorld网站报道,作为检查手机厂商在Android中增添代码的安全性实验的一部分,谷歌安全研究人员“搜寻”了三星Galaxy S6 Edge智能手机中的安全缺陷。
研究人员在三星的代码中发现11处安全缺陷,这些缺陷能够被黑客用来创建具有系统权限的文件、窃取用户的电子邮件、在内核中执行代码,以及提升非特权应用的权限。
安全人员发表博文称,“总之,我们发现了相当多数量的高危险性问题,尽管Galaxy S6 Edge上部分行之有效的安全措施放缓了我们查找缺陷的速度。安全软肋似乎是设备驱动程序和媒体处理,通过分析代码等手段,我们很快发现了这些方面存在的问题。”
PCWorld表示,三星的代码中还存在3个易于发现和利用的高危险性逻辑缺陷。其中之一是存在于名为WifiHs20UtilityService的三星服务中的路径遍历缺陷。这一服务具有系统权限,能在存储空间的指定位置扫描ZIP文件,并对它进行解压缩。通过利用该缺陷,黑客能使系统文件被写入非计划中的位置。
另外一个缺陷位于三星电邮客户端中,它在处理Intent时不验证其真伪。Intent使应用能向Android OS中的其他应用传递指令。由于三星电邮客户端不对Intent的真伪进行验证,一款没有相应权限的应用可以要求三星电邮客户端把用户的所有电子邮件发送到一个不同的电子邮件地址。
PCWorld称,在由三星增添、而非原生Android代码的驱动程序和图像处理组件中发现了多个问题。通过简单地在设备上下载一张图片,黑客就可以利用其中的3个缺陷。
这次持续一周的实验的目标,是检查Android的安全机制能否阻止黑客利用硬件厂商增添的代码兴风作浪。
研究人员称,Android默认开启的SELinux防御机制提高了攻击设备的难度。但是,3个缺陷使得恶意代码能关闭SELinux,因此它在所有实验中完全不起作用。
PCWorld指出,谷歌已经将发现的所有问题都通报给了三星。除3个危险程度较低的缺陷外,三星在接到通报后的90天内修正了其他缺陷。谷歌研究人员称,“高危险性的缺陷在合理时间内得到修正令人欣慰。”
Android代码也存在缺陷,但谷歌在Android平台上开发了防御和权限控制机制,提高了黑客利用缺陷兴风作浪的难度。
长期以来,第三方研究人员一直警告称,硬件厂商修改Android代码,在其中增添代码,通常会影响其内置的安全机制。
- 相关阅读:
- 海贼王819话剧情分析 和之国武士还隐藏了什么实力?2016-03-11奇迹暖暖12-9公主级怎么搭?12-9公主级搭配推荐2016-03-15熊猫TV女主播打屁股兔兔没穿内裤直播被禁封(图)2016-03-16
- 新闻 娱乐 福建 篮球比分直播: 漳州 厦门
-
- 司法部原党组成员、副部长刘志强受贿案一审宣判
2025-07-22 17:25 - 2025年6月吉林省查处违反中央八项规定精神问题468起
2025-07-22 16:38 - 优化医养结合服务供给 国家卫健委印发工作方案
2025-07-22 16:18 - 第七批新职业正式发布 包括17个新职业、42个新工种
2025-07-22 16:17 - 十四届全国政协原常委、农业和农村委员会原副主任齐扎
2025-07-22 10:43 - 20多个国家联署声明要求立即结束加沙战争
2025-07-22 10:43 - 英国呼吁推进对乌克兰军援以施压俄罗斯
2025-07-22 10:40
- 司法部原党组成员、副部长刘志强受贿案一审宣判
- 猜你喜欢:
-
iOS 26“泄露”iPhone 17 Air:搭载6.6英寸屏2025-06-27QQ回应未经同意大规模弹窗游戏广告:系统BUG2025-06-12蚂蚁庄园今天问题正确答案:铅笔上通常会有“H”和“B”的型号标识代表笔芯的什么?2025-05-06
您需要登录后才可以评论, 登录| 注册
甜找出15个字是什么?汉字找茬王找字甜关卡2023-04-10
闽南网推出专题报道,以图、文、视频等形式,展现篮球比分直播:在补齐养老事业短板,提升养老服