Android新漏洞泄露敏感信息：影響近九成用戶

獵云網(wǎng) ? 10年前掃碼分享

我是創(chuàng)始人李巖：很抱歉！給自己產(chǎn)品做個廣告，點擊進來看看。

Android新漏洞泄露敏感信息：影響近九成用戶

發(fā)表于 2014/06/30 由獵云網(wǎng)

6月30日消息

IBM的研究人員發(fā)現(xiàn)，大約有86%的Android手機中都存在一個漏洞。黑客可能借此獲取用戶的敏感信息，包括銀行服務(wù)和虛擬專用網(wǎng)絡(luò)(VPN)的密鑰，以及用于解鎖設(shè)備的PIN碼或圖形。

　　該漏洞位于Android KeyStore，這是Android系統(tǒng)的一個敏感區(qū)域，專門用于存儲密鑰和類似的身份信息。借助該漏洞，黑客可以通過執(zhí)行惡意代碼來獲取用戶的敏感信息。研究人員稱，谷歌僅在Android 4.4奇巧系統(tǒng)中修補了這一漏洞，其余版本仍會受到該問題的影響。受影響的用戶在所有Android用戶中的占比大約為86.4%。

　　如果黑客想要成功利用這項漏洞，必須克服多項技術(shù)障礙。Android系統(tǒng)采用了現(xiàn)代化的軟件保護措施，包括數(shù)據(jù)執(zhí)行預防模式，而且解決了空間布局隨機化的問題。這兩項功能都會導致黑客執(zhí)行惡意代碼的難度加大。

　　黑客還必須在受到這一漏洞影響的手機上安裝應(yīng)用。不過，由于存在于Android最為敏感的KeyStore中，所以該漏洞十分嚴重。

　　美國萊斯大學計算機系教授、Android安全專家丹·沃雷克(Dan Wallach)解釋說：“通常而言，應(yīng)用都會將認證信息存儲在這里，所以如果攻破了KeyStore，那么當用戶的手機上有相應(yīng)的應(yīng)用時，你便可以假扮成手機用戶登錄該服務(wù)。至少也可以登錄能記住密碼的服務(wù)。這意味著多數(shù)強迫你每次都要輸入密碼的銀行應(yīng)用，或許在應(yīng)對這一攻擊時相對比較安全。”

　　黑客可以利用該漏洞進入用戶的Twitter賬號發(fā)布垃圾信息，也可以竊取銀行存款。而如果他們盜取了用戶的VPN認證數(shù)據(jù)，則可以繞過防火墻展開各種攻擊。

　　安全公司viaForensics高級移動安全工程師保·奧利瓦(Pau Oliva)表示，該漏洞還會造成其他威脅，因為它將允許黑客接觸到執(zhí)行敏感加密任務(wù)的Android資源。“利用這項漏洞，黑客可以假冒智能手機所有者生成RSA密鑰，并進行簽名和認證。”奧利瓦說。

　　谷歌可能通過Bouncer服務(wù)為用戶提供額外的保護，但這一機制經(jīng)常被黑客繞過。由此看來，經(jīng)常利用Android設(shè)備從事資金交易和傳輸重要數(shù)據(jù)的用戶，最好還是在安裝應(yīng)用時多加小心。在通過Google Play之外的其他渠道安裝應(yīng)用時同樣應(yīng)格外警惕。(書聿)

來源：新浪科技

（本站是業(yè)界知名權(quán)威科技媒體，牢記本站網(wǎng)址lieyunwang.com “獵云網(wǎng)”全拼）點擊收藏
【敬請?zhí)砑荧C云網(wǎng)微信微信號：ilieyun 公眾賬號搜索：獵云網(wǎng) 】

分享到:

打開微信，掃一掃

復制鏈接

標簽: Android新漏洞

互聯(lián)網(wǎng)招聘

PEVC招聘大屏幕視頻直播間總經(jīng)理
向日葵保險網(wǎng)招聘行政專員
PEVC招聘產(chǎn)品經(jīng)理（工商系統(tǒng)項目）
蘑菇街招聘PHP

發(fā)表評論取消回復

使用新浪微博評論：

獨立魚，電影領(lǐng)域也可以科技博客
好友說雷軍：他的極致你不懂
Android用戶龐大，但卻沒有iOS用戶“值錢”
拉勾網(wǎng)CEO馬德龍：八個月估值過億，如何做到？
Wradio和舊版說再見，向全球電臺出發(fā)
國內(nèi)風投爛大街：女投資人為搶項目不惜陪睡

最佳評論

跤-.-

老對手ATI都沒搞定，就和韓國棒子亂倫，你這不是“自尋死路嗎”，還好開竅了

原文: 三星、英偉達對打造ARM服務(wù)器芯片已失去信心
離職兩個高管雖然不會動搖企業(yè)根基,是不是算個事兒得看企業(yè)整體用人計劃,不過在這個圈子里,跳槽是個常見的事,沒有歸屬感或者與企業(yè)領(lǐng)導人價值觀不對路,是人才就得想辦法留住他們,而不是把著離開任何人地球都照樣轉(zhuǎn)的想法糟踐人才.

原文: 消息稱酷派兩大核心高管離職
千面貍貓

開放專利為了打擊另辟蹊徑,永遠可以做領(lǐng)導者.電動汽車起步不長,繞開特斯拉重新開發(fā),即使落后,也不可怕.比如BYD,技術(shù)上不見落后多少,可大家都免費使用特斯拉專利,BYD即使不用,但其他各大廠商都用,配套網(wǎng)絡(luò)BYD一家也鋪設(shè)不起,自然把你掐死在襁褓里.有時候免費也是一種扼殺,猶如當年微軟無視內(nèi)地盜版瘋狂.

原文: 馬斯克牛逼，他要免費開放特斯拉的所有專利
zero

安卓的問題在于功能的使用率太低了！同樣的功能在ios上有80%的使用率，在安卓上可能還不到40%。為什么呢？因為我們所買到的安卓手機都是各手機廠商深度定制過的，或多或少的刪減閹割了谷歌原生系統(tǒng)的功能來達到標新立異的目的，不同廠商的手機到用戶手里的體驗感是不同的！還是碎片化惹得禍。

原文: iOS 8 “偷走”了 Android 多少功能？
www.fangfan123.com

現(xiàn)在很多軟件都可以WIFI下通話，這算新技術(shù)嗎？無非就是多個號段，網(wǎng)上的免費電話號段多了。

原文: 阿里通信170號段資費公布可使用流量打電話