訪問原網址
原標題:三星小米等廠商均受影響,谷歌披露威脅數百萬安卓設備的高危漏洞
IT之家 12 月 3 日消息,谷歌安卓合作夥伴漏洞計劃(APVI)網站上的一個新帖子中,曝光了一個影響數百萬安卓設備的安全漏洞。黑客利用該漏洞,就能夠在三星、LG、小米等諸多 OEM 廠商品牌手機中植入惡意軟件。而且這些惡意軟件可以獲得系統級別的最高權限。
IT之家了解到,這個安全漏洞的關鍵就是平台證書。谷歌員工和惡意軟件逆向工程師盧卡茲・塞維爾斯基(Łukasz Siewierski)率先發現了這個證書問題,他表示這些證書或簽名密鑰決定了設備上安卓版本的合法性。供應商也使用這些證書來簽署應用程序。
雖然安卓系統在安裝時為每個應用程序分配了一個獨特的用戶 ID(UID),但共享簽名密鑰的應用程序也可以有一個共享的 UID,並可以訪問對方的數據。而通過這種設計,與操作系統本身使用相同證書籤署的應用程序也能獲得同樣的特權。
而問題的關鍵是,部分 OEM 廠商的安卓平台證書泄露給了錯誤的人。這些證書現在被濫用於簽署惡意應用程序,使其具有與安卓系統相同的權限。這些應用程序可以在受影響的設備上可以不和用戶交互,直接獲得系統級權限。因此安卓設備一旦感染,就能在用戶不知情的情況下獲取所有數據。
媒體報道
- 搜狐 IT 之家 鳳凰科技 搜狐科技
相關事件
- 谷歌披露威脅數百萬安卓設備的高危漏洞 2022-12-03
- 谷歌公布安卓系統高危漏洞,三星、華為、小米等中招 2019-10-05
- 一指紋識別技術漏洞曝光:可跟蹤Android和iOS設備 2019-05-23
- 谷歌發布5月份安卓補丁:修復30處漏洞 2019-05-07
- 谷歌:Android安全計劃幫助開發者修復超百萬個應用漏洞 2019-03-01