1. PTT
  2. MobileComm

[新聞] Google在三星新旗艦S6 Edge中發現嚴重漏洞

作者: Rigaudon (四海之內反***者皆朋友)   2015-11-04 16:29:38
http://goo.gl/Fn9bxU
Google在三星新旗艦S6 Edge中發現嚴重漏洞
據國外媒體報導,Google的Android查漏團隊今日宣佈在三星高階旗艦智慧
手機Galaxy S6 Egde所用軟體發現了11個可利用的漏洞,其中包括不少高度
危險級漏洞。
現在,Google在保證Android安全性方面所面臨的挑戰,比微軟在10多年前
為保證Windows XP安全性上所面臨的挑戰更大,因為Google對Android系統
的控制力比微軟當年對Windows XP系統的控制力低得多。
正如Google Project Zero團隊自己所說,Android客製方是Android安全研
究的一個重要領域,因為他們會在最高權限級別向Android設備中添加各種
程式碼,而那些程式碼可能包含安全漏洞,而且他們提供給設備電信商安全
升級的發布頻率,也是由各家Android廠商自己決定的。
Google的 Project Zero團隊用了一週的時間來檢查Galaxy S6 Edge所用的
Android系統,挑戰了Android系統中最容易受到攻擊的安全漏洞,目的是看
他們是否能夠在無用戶參與的情況下遠程獲取用戶的聯繫人、照片和簡訊等
資料;
另外,Project Zero團隊還利用Google Play安裝的一款不需要用戶授權的
應用去嘗試攻擊Android系統;最後還對恢復出廠設置但仍然存在安全漏洞
的設備進行了攻擊。
Project Zero團隊發現,三星在Android系統中添加了一個具備系統級權限
的流程,用於解壓縮從特定網址下載的ZIP文件。Google指出:「不幸地是
, 解鎖ZIP文件所用的應用程式介面並沒有驗證文件通道,因此它可能是在
任何地方編寫出來的。只要利用攻擊其他目錄遍歷漏洞所用的技術,就能通
過 Dalvik高速緩衝區攻破這個漏洞。」
三星的電子郵件編碼中也存在一個漏洞,該漏洞會導致Android系統在處理
Android策略時不進行認證,這是一個允許各種應用相互傳遞命令的作業系
統級功能。但是由於沒有認證過程,三星的電子郵件軟件就會被未獲相應權
限的App鑽漏洞,從而劫持用戶的電子郵件並將郵件發往其他帳戶。
Google指出,這個錯誤會讓不法分子輕鬆獲取只有授權應用才能獲取的數
據,這也進一步證明了Google對於第三方使用的Android系統沒有絲毫的掌
控力。
Google還發現,三星的三款設備存在緩衝區溢出漏洞,這種漏洞有可能被與
多媒體處理有關的漏洞比如libStageFright利用,進而獲取訪問系統核心的
權限。
三星的圖形處理程式碼中也被發現存在5個可被利用的漏洞,其中有2個漏洞
會允許攻擊者在利用三星Gallery應用打開某個原始圖片文件時提升訪問權
限,而另外3個漏洞則只要用戶下載圖片就會被觸發。
Google對於自己能在如此短的時間內發現這麼多漏洞感到非常意外,它補充
說:「我們甚至發現了3個邏輯問題,這種問題特別令人擔憂,因為不法分
子可以在很短的時間內發現和利用這種問題。」
Google指出,三星使用的SELinux讓它很難對某些漏洞展開調查,也很難判
定設備是否會因此受到攻擊,但是它還發現了可以被用來禁用SELinux的3個
漏洞,因此這並非緩解所有漏洞的有效方式。
三星和Google一直在努力修補已經被發現的最嚴重的漏洞,但是Google只用
了一週時間就發現如此多的高危級漏洞也證明了安全工作的困難性和嚴重性
,因為S6 Edge可是三星這個最大的Android客製方推出的最高階手機。
Android 的安全問題從2011年起就變得越來越複雜了,當時北卡州大學的研
究員們指出,由於HTC、三星、摩托羅拉甚至Google自己的Nexus手機在設備
中添加的其他軟體存在漏洞,結果導致Android基於批准的安全系統可以被輕
易繞過。研究員們還實際展示了繞過Android安全系統的過程。
北卡州大學的研究員們表示:「將這些問題報告給Android廠商後,我們在
HTC和三星那裡遇到了巨大的阻力,它們一直無動於衷,根本不重視我們的
報告和質詢。」
Google自己的Android系統中的漏洞也是一個嚴重的問題,而且這個問題還
因為沒有用戶能夠將設備所用的Android系統升級到最新版本而變得更加複
雜。現在,還有四分之三的Android設備使用的是Android 5.0 Lollipop以
前的版本。
2014 年夏季,Google首席執行官桑達爾·皮查伊(Sundar Pichai)推出了
附帶三星Knox安全軟體的Android 5.0。雖然看到只有四分之一的用戶選擇
了去年發佈的Android 5.0,Google還是在一年之後發布了另一個新版本的
Android。
最新版本的Android軟體剛一推出就因為三星自己添加的程式碼而存在如此
多的高度危險級漏洞,這是多麼地具有諷刺意味啊。
心得:
不曉得google特地去桶三星這一刀是為了什麼理由XD,還是覺得S6 edge是
目前尚市面上最貴的android手機,所以應該要最安全的才對嗎?不過看起
來結果是出乎google自己的意料之外,不僅發現了不少高危險的漏洞,而且
有不少還是三星獨有的,連三星自己的安全系統都無法有效擋下,看來最近
三星工程師的肝要注意一點了XD
繼續閱讀
[問題] samsung s6 chrome 分頁skybird0414[閒聊]這app或許會是你在手機上玩的最後一款遊戲MadMac[新聞] 三星J3手機現蹤FCC 上市腳步已近Rigaudon[閒聊] 你們用平板看電子書還是紙本??wiogoar[問題] ZL電池問題asdzxc8024[問題] sony z3沒溫度顯示polymer520[情報] htc A9有系統更新lonewulfen[問題] 神續航換電池快充哪個比較實在leo255261[情報] 售價 3,290 元起,Acer 一舉在台灣發表四star1416Re: [問題] LG G3 vs. ZF2 ZE551ML hedonic

Links booklink

Contact Us: admin [ a t ] ucptt.com