1.媒體來源:
iThome
2.完整新聞標題/內文:
IBM:Android 4.3含安全漏洞,金鑰有外洩之虞
IBM安全研究人員揭露,代號為Jelly Bean的Android 4.3中的KeyStore服務含有安全漏洞
,可能造成使用者儲存於該軟體中的金鑰外洩。
KeyStore是Android平台上專門用來儲存各種程式金鑰或密碼的服務,以讓使用者在登入
程式時不需重新鍵入密碼。
不過,IBM安全研究人員發現,KeyStore有一堆積緩衝溢位漏洞,駭客可能藉以存取
KeyStore中所儲存的各式金鑰,或是以使用者身份登入相關服務。幸好Android平台內建
許多安全機制,提高了攻擊門檻。
企圖攻擊該漏洞的駭客必須先打造一支惡意程式,然後說服使用者下載及安裝,也必須繞
過Android上的DEP、ASLR、Stack Canaries等安全機制,即使到達了KeyStore,也不一定
能存取KeyStore儲存的所有金鑰。
IBM是在9個月前發現此一漏洞,當時先告知了Android安全團隊,此一漏洞僅影響
Android 4.3,在Android 4.4中已修補該漏洞。但根據Google的統計,目前市場上仍約有
10.3%的Android裝置執行該版本的作業系統。(編譯/陳曉莉)
3.新聞連結:
http://www.ithome.com.tw/news/89071
4.備註:
想更新?
你還要看廠商臉色要不要給你更新呢...