谷歌披露威胁数百万安卓设备的高危漏洞

日期:2022-12-03发布:藏清欢

谷歌披露威胁数百万安卓设备的高危漏洞

IT之家 12 月 3 日消息,谷歌安卓合作伙伴漏洞计划(APVI)网站上的一个新帖子中,曝光了一个影响数百万安卓设备的安全漏洞。黑客利用该漏洞,就能够在三星、LG、小米等诸多 OEM 厂商品牌手机中植入恶意软件。而且这些恶意软件可以获得系统级别的最高权限。

IT之家了解到,这个安全漏洞的关键就是平台证书。谷歌员工和恶意软件逆向工程师卢卡兹・塞维尔斯基(Łukasz Siewierski)率先发现了这个证书问题,他表示这些证书或签名密钥决定了设备上安卓版本的合法性。供应商也使用这些证书来签署应用程序。

虽然安卓系统在安装时为每个应用程序分配了一个独特的用户 ID(UID),但共享签名密钥的应用程序也可以有一个共享的 UID,并可以访问对方的数据。而通过这种设计,与操作系统本身使用相同证书签署的应用程序也能获得同样的特权。

而问题的关键是,部分 OEM 厂商的安卓平台证书泄露给了错误的人。这些证书现在被滥用于签署恶意应用程序,使其具有与安卓系统相同的权限。这些应用程序可以在受影响的设备上可以不和用户交互,直接获得系统级权限。因此安卓设备一旦感染,就能在用户不知情的情况下获取所有数据。

【相关文章】

现场火爆!华为Mate 50碰上iPhone 14,爆款“昆仑玻璃版”到货要等1个月

扎克伯格敦促Meta员工用VR开会,很多人紧急买设备

王者荣耀ios转安卓申请 王者荣耀ios转安卓申请方法

誓言提高整体工作效率20% 谷歌CEO皮查伊暗示裁员

苹果 iOS 这个重磅更新,救得了退潮的 NFT 吗?

苹果(AAPL.US)官宣允许iOS程序发行NFT 抽佣30%照旧

苹果或将允许用户从外部应用商店下载软件

扎克伯格把PyTorch捐了!已归入Linux基金会

硅谷巨头裁员凶猛:一小时关闭办公权限,华人抱团自救找工作

谷歌 Pixel Watch 全配色曝光:支持 ECG 心电图,集成 Fitbit

THE END

本文地址:https://www.qubaike.com/hotnews/ix1wr42a.html

声明:本文信息为网友自行发布旨在分享与大家阅读学习,文中的观点和立场与本站无关,如对文中内容有异议请联系处理。