漏洞風波再起,你認為最安全的那個平台真的安全麼?

愛範兒 於 17/08/2015 發表 收藏文章

MWR 實驗室近日公佈了 Android 的又一安全漏洞,攻擊人員可以通過一些手段繞過 Android 的沙箱機制。

從本質上來説,Android 通過使用沙箱的概念來實現應用程序之間的分離和權限,以允許或拒絕一個應用程序訪問設備的一些資源。

Threatpost 詳細介紹了 MWR 實驗室所提到的這個漏洞的工作原理

引用當 Google Admin 應用程序接收到一個 URL ,並且該 URL 是通過同一設備上任何其他應用的 IPC 調用接收時,Admin 程序會將這個 URL 加載到它活動內的 Webview 中。這時若攻擊者使用一個 file:// URL 鏈接到他們所控制的文件,那麼就可以使用符號鏈接繞過同源策略,並接收到 Admin 沙箱中的數據。

Threatpost 還介紹稱,MWR 早在三月份就向 Google 方面遞交了這個漏洞問題,不過在如今的補丁包中仍未看到 Google 對這個漏洞做出任何反應,於是 MWR 決定公佈這個消息,並提醒用户儘量不要安裝不可信的第三方 APP。

不過似乎最近關於 Android 安全的問題就沒消停過。

上月底的時候,Android 就曾曝出彩信漏洞的問題。網絡安全機構 Zimperium 在 Android 上發現了一個嚴重漏洞——Stagefright。黑客只需要通過用户的手機號碼,並以發送彩信的方式執行惡意代碼,然後就可以控制用户手機。這個漏洞波及了 9.5 億左右 Android 設備。

雖然 Google 很快對這個漏洞給出了相應的補丁包,不過外媒表示部署到全部用户則需要幾個月的時間。

此前 ZDNet 也報道過一些黑客可以使用“指紋傳感器監視攻擊方法”,在一些廠商的 Android 設備中隨意竊取用户的指紋數據,黑客們已經在 HTC 及三星手機上成功演示攻擊過程。

Google 曾在今年的六月份公佈“安全獎勵計劃”,鼓勵社會上的安全人員發現 Android 系統上存在的問題或漏洞。不過 Google 的原意是想讓更多的技術人員參與進來,讓自己的 Android 平台更安全,但似乎一波一波的安全問題正掀起網民對 Android 平台的激烈討論。

無獨有偶,Mac 平台在昨日也剛剛曝出 0day 漏洞。意大利的一名開發者發現,OS X Yosemite 存在的漏洞將允許攻擊者無需密碼直接獲得 root 訪問權限,而這個漏洞影響到 Yosemite 的每一個版本。

當然,蘋果的 iOS 也曾曝出過相當多的安全漏洞,此前 iOS 的鎖屏漏洞可謂修修補補經歷了好幾個版本;以色列公司也曾通過虛假 WiFi 成功攻擊 iOS ;去年因 iCloud 的安全問題,還曾曝出多位明星的豔照。

我們正在使用的 iOS 8 系統甚至被網民戲稱為“史上 BUG 最多的 iOS”。

此前微軟 IE 也曾曝出多次嚴重漏洞,微軟也在今年的黑帽大會上舉行了漏洞大獎賽,鼓勵用户上報 Windows 10 的 BUG 及漏洞。

題圖來自 123RF


資料來源:愛範兒(ifanr)
作者/編輯:王 飛

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→