MWR 實驗室近日公佈了 Android 的又一安全漏洞,攻擊人員可以通過一些手段繞過 Android 的沙箱機制。
從本質上來説,Android 通過使用沙箱的概念來實現應用程序之間的分離和權限,以允許或拒絕一個應用程序訪問設備的一些資源。
Threatpost 詳細介紹了 MWR 實驗室所提到的這個漏洞的工作原理:
引用當 Google Admin 應用程序接收到一個 URL ,並且該 URL 是通過同一設備上任何其他應用的 IPC 調用接收時,Admin 程序會將這個 URL 加載到它活動內的 Webview 中。這時若攻擊者使用一個 file:// URL 鏈接到他們所控制的文件,那麼就可以使用符號鏈接繞過同源策略,並接收到 Admin 沙箱中的數據。
Threatpost 還介紹稱,MWR 早在三月份就向 Google 方面遞交了這個漏洞問題,不過在如今的補丁包中仍未看到 Google 對這個漏洞做出任何反應,於是 MWR 決定公佈這個消息,並提醒用户儘量不要安裝不可信的第三方 APP。
不過似乎最近關於 Android 安全的問題就沒消停過。
上月底的時候,Android 就曾曝出彩信漏洞的問題。網絡安全機構 Zimperium 在 Android 上發現了一個嚴重漏洞——Stagefright。黑客只需要通過用户的手機號碼,並以發送彩信的方式執行惡意代碼,然後就可以控制用户手機。這個漏洞波及了 9.5 億左右 Android 設備。
雖然 Google 很快對這個漏洞給出了相應的補丁包,不過外媒表示部署到全部用户則需要幾個月的時間。
此前 ZDNet 也報道過一些黑客可以使用“指紋傳感器監視攻擊方法”,在一些廠商的 Android 設備中隨意竊取用户的指紋數據,黑客們已經在 HTC 及三星手機上成功演示攻擊過程。
Google 曾在今年的六月份公佈“安全獎勵計劃”,鼓勵社會上的安全人員發現 Android 系統上存在的問題或漏洞。不過 Google 的原意是想讓更多的技術人員參與進來,讓自己的 Android 平台更安全,但似乎一波一波的安全問題正掀起網民對 Android 平台的激烈討論。
無獨有偶,Mac 平台在昨日也剛剛曝出 0day 漏洞。意大利的一名開發者發現,OS X Yosemite 存在的漏洞將允許攻擊者無需密碼直接獲得 root 訪問權限,而這個漏洞影響到 Yosemite 的每一個版本。
當然,蘋果的 iOS 也曾曝出過相當多的安全漏洞,此前 iOS 的鎖屏漏洞可謂修修補補經歷了好幾個版本;以色列公司也曾通過虛假 WiFi 成功攻擊 iOS ;去年因 iCloud 的安全問題,還曾曝出多位明星的豔照。
我們正在使用的 iOS 8 系統甚至被網民戲稱為“史上 BUG 最多的 iOS”。
此前微軟 IE 也曾曝出多次嚴重漏洞,微軟也在今年的黑帽大會上舉行了漏洞大獎賽,鼓勵用户上報 Windows 10 的 BUG 及漏洞。
題圖來自 123RF
資料來源:愛範兒(ifanr)
作者/編輯:王 飛
請按此登錄後留言。未成為會員? 立即註冊