冰雪

苹果Xcode病毒门还没完,安卓又被曝漏洞后遗症

2019-10-09 16:50:11来源:励志吧0次阅读

连续几日,苹果Xcode病毒门事件持续发酵,再次引发公众对手机安全的关注。就在人们纷纷聚焦苹果之时,360无线安全团队C0RE Team最新披露,不久前被曝可影响95%安卓设备的Stagefright漏洞尚存后遗症,该团队在安卓多媒体库中又挖出多个漏洞,其中4个已被谷歌确认为安全漏洞,有两个更被确认为高危漏洞。C0RE Team表示,漏洞详情将在即将举行的中国互联网安全大会(ISC2015)上发布。

一条神秘彩信能黑掉手机?

今年7月27日,信息安全公司Zimperium在博客发帖说,研究人员Joshua Drake在安卓平台的核心组成部分,即主要用来处理、播放和记录多媒体文件的Stagefright框架中发现多处安全漏洞。“黑客”只需知道用户手机号码,便可通过发送彩信的方式远程执行恶意代码。

漏洞的可怕之处在于,“黑客”可以在用户完全不打开或阅读彩信的情况下入侵手机,甚至赶在用户看到这条彩信前将其删除,神不知鬼不觉地“黑”掉手机,继而远程窃取文件、查收电邮乃至盗取用户名和密码等信息,而用户对这一切全然不知。“这类攻击的目标可以是任何人,”Zimperium公司说,“这些漏洞极其危险,因为它们无需受害人采取任何行动。”

按这家公司的说法,Stagefright框架的安全漏洞波及安卓多个版本,当时约有95%、即多达9.5亿部使用安卓系统的智能手机受到影响。

“谷歌行动及时,48小时内便在内部代码库应用了补丁程序,”Zimperium公司说,“不过,这只是个开始,更新部署将是非常漫长的过程。”

致命漏洞真的被修复了吗?

受到Zimperium公司的启发,在上述漏洞发布后的半个月内,360无线安全团队C0RE Team又接连发现了多个不同的漏洞并提交给谷歌。C0RE Team负责人透露,这些新发现的漏洞与Stagefright漏洞具备相同特征,且能够造成的危害力也与之等量,“利用这些漏洞,黑客发送一条彩信即可以对你的手机做任何事,甚至通过检查你的通讯录,用同样的方式把病毒扩散给你的其他朋友”。不仅仅是个人,C0RE Team负责人称,此类漏洞若不及时修复,甚至还可能被一些利益集团利用,从事黑产或者用于窃取军事信息等。

据了解,这些漏洞已经被C0RE Team提交给谷歌,其中4个漏洞已被谷歌确认为安全漏洞,有两个更被确认为高危漏洞。谷歌也着手修补漏洞并通知手机厂商,但由于厂商推送补丁需要一定的时间,安卓用户正在使用的各种系统中,漏洞尚未被修补。

这些漏洞是如何被发现又如何被利用做到远程攻击?安卓用户如何侦测自己的设备是否存在这些漏洞?C0RE Team称,更多细节与研究成果将在即将举行的中国互联网安全大会(ISC2015)“智能移动终端攻防论坛”上发布。

手机成终极情报收集工具?

前有安卓Stagefright漏洞,后有苹果Xcode病毒门,两大移动操作系统巨头先后陷入泥淖。相比二者连番卷入舆论漩涡的动荡不安而言,这些病毒门、漏洞门中,最终受到实质伤害的依然是普通用户,或个人隐私遭泄漏,或重要信息被贩卖,甚至可能招来不法分子的觊觎。

对此,以色列手机安全企业Kaymera CEO、移动安全顶尖专家Avi Rosen认为,智能手机如今已成为黑客的终极情报收集工具。随着低成本工具的出现和网上可提供产品的丰富多样,黑客可以将任何智能手机变成一个复杂的跟踪装置,具备提供实时的情报收集能力,并通过语音通话、短信、电子邮件、环境声音、照片、视频等内容,准确地对手机用户进行定位跟踪。

这意味着,无论你身在何处、正在做什么,时刻有目光躲在暗处窥伺的场景可能不再只是恐怖电影里的桥段,你的一切将暴露在攻击者面前。

黑客到底是如何利用智能手机成为情报收集工具的,普通手机用户可以用哪些方法抵御攻击?作为ISC2015的闭幕式嘉宾,Avi Rosen将在9月30日召开的全球互联网安全精英峰会上,详述各种移动网络攻击载体和情报搜集技术,并介绍用户们关注的保护移动资产和数据的有效方式。

无锡妇科医院
滁州治疗早泄费用
西藏好的妇科医院
无锡妇科医院哪家好
滁州治疗早泄医院
分享到: