用户只要点击PNG图片就可能遭受远程攻击,安卓
分类:互联网

Google在今年2月发布的Android安全更新中,修补了3个涉及PNG文件的重大漏洞,相关漏洞允许黑客在PNG中植入恶意程序,用户只要点击PNG图片就能触发漏洞,而惹来远程程序攻击。

据最新报道,近一周的时间里,谷歌的团队一直在尝试挑战“Android的安全界限”,它们想知道自己能否通过一定的手段,在不和用户交流的前提下,远程获取到用户的通讯录、照片和信息;寻找那些从Google Play下载的,但却未经用户允许的app;还有那些可以逃过检测直接安装到手机中的攻击软件。

除了少数漏洞外,大部份漏洞影响包括Android 7.0(7.1.1、7.1.2)、8.0/ 8.1及9等版本。所幸Google表示尚未接获有开采或滥用上述漏洞的受害通报。

所幸Google已经在今年10月修补了此一编号为CVE-2019-2114的安全漏洞,并将其列为高风险漏洞,但并未说明漏洞细节。实际上该漏洞涉及到NFC功能的预设权限,可允许骇客绕过与使用者之间的某些互动,提高恶意程序的安装机率。

澳门葡京平台 1

XPJ注册,谷歌团队披露漏洞细节

主要Android厂商已在至少一个月前就获得通报,包括Google Pixel和Nexus装置、Samsung、Sony、LG、HTC、Nokia等品牌手机用户,理应近日会接到更新通知,Google也会在48小时内,将修补程序释出给Android开源码专案(Android Open Source Project,AOSP)数据库。

每当人们出入小区门禁或乘坐公交地铁时,使用带有NFC功能的手机即可快速刷卡通过,为大家的生活出行带来了极大便利。可是近日安全研究人员却发现,Android 8版本以后的操作系统却存在着一个高风险NFC漏洞,能让附近的恶意攻击者在Android手机上植入恶意程序。

来自Tripwire的安全研究人员Craig Young指出,相关漏洞与Android在描绘图片之前如何进行解析有关,这些漏洞之所以存在是因为Android依然在特权流程中解析媒体文件。 Young认为,媒体处理是风险最高的活动之一,自动化的媒体解析不但应该要保持在最低限制,也应该在隔离的环境中执行。

澳门葡京平台,谷歌研究人员最终发现,三星的代码中有11处安全漏洞。黑客可以借助这些漏洞制作具有系统特权的文件,窃取用户电子邮件,并在内核中执行代码,同时增加特权和非特权应用。

Google 4月1日发布的安全修补程序中,CVE-2019-2027及CVE-2019-2028的漏洞位于Android媒体框架(Media framework),可让攻击者传送变造过的档案,进而在有权限情况下从远端执行任意代码,被Google研究人员列为重大风险等级。

可是该策略也有例外,如果让某些内置系统程序自动被列入白名单,就无需征求使用者同意就能从任何来源安装程序,例如Drive或NFC Service。

尽管Google宣称尚未发现黑客的攻击行动,而且已将修补版本发布至Android开源项目(Android Open Source Project,AOSP),但目前只有诸如Pixel等Google品牌的设备可直接取得Google的安全更新,至于其它品牌的手机或平板则仍得视设备制造商或电信企业的更新进程才能取得修补,意味着仍有众多的Android设备陷于该重大安全风险中。

【编辑推荐】

Google团队另外还修补了9项高风险漏洞,包括6项权限升级(elevation of privilege)漏洞。其中CVE-2019-2026位于Android框架,其他5项(CVE-2019-2030、CVE-2019-2031、CVE-2019-2033、CVE-2019-2034及CVE-2019-2035)位于作业系统中,可在让装置端的攻击者不需使用者互动而取得更高权限。此外作业系统核心还包括3项可导致资讯泄露的漏洞:CVE-2019-2038、CVE-2019-2039、CVE-2019-2040,皆被列为高风险。

这意味着假设使用者的手机支持NFC,而且启用了可让两台Android手机互相交换数据的Android Beam功能,那么攻击者就能通过Android Beam传送一个APK到附近的Android设备上。中招者只要不小心点选了接收完成的通知,再点击所收到的文件,那么该文件就会自动安装,而不会显示“是否安装不明程序”的警告,引发攻击威胁。

PNG文件的全名为Portable Network Graphics,为一专为网络传输所设计的文件格式,并准备用来取代GIF。

谷歌表示,该公司发现了一些非常严重的问题,主要集中于设备驱动和媒体处理方面。另外还有3个影响较大的逻辑缺陷也很容易被黑客利用。

此外,Google并预计在4月5日发布第二波安全修补程序,修补作业系统中1项远端程序码执行漏洞,以及2项权限升级与1项资讯泄露漏洞。4月5日的修补更新则可解决上述所有漏洞。

为了避免受到此NFC漏洞影响,尚未安装10月更新的Android用户,也可以简单地关闭Android Beam功能或是把Android Beam自白名单中删除即可。

这代表Android用户只要点击可爱的猫、狗图片,或是看起来无害的风景照,都可能遭到远程程序攻击。

详细报告

Google发布安全公告,修补了包括2项远端程序码执行(remote code execution,RCE)等在内11项高风险与重大漏洞。

据研究人员表示,在Android 8之前的操作系统有一个设定,启用后将允许使用者从Google Play商店以外的平台来安装任意程序。不过Google在Android 8及后续版本上则改变了该策略,要求每个程序都必须取得使用者的同意,才能安装不明来源的程序。

根据Google的说明,本次更新最严重的安全漏洞藏匿在框架(Framework)中,允许远程黑客通过特定的PNG文件,在特权流程中执行任意程序,包括CVE- 2019-1986、CVE-2019-1987及CVE-2019-1988,波及从Android 7.0到Android 9的各种Android版本。

存在漏洞的包括WifiHs20UtilityService和三星电子邮件客户端等应用。另外,三星后期增加的驱动和图片分析组件也存在很多问题,黑客只需简单地在Galaxy S6 Edge上下载一个图片就能利用其中的3处缺陷。漏洞的编号分别为(CVE-2015-7888,CVE-2015-7889,CVE-2015-7890, CVE-2015-7891, CVE-2015-7892,CVE-2015-7893,CVE-2015-7894, CVE-2015-7895, CVE-2015-7896, CVE-2015-7897, CVE-2015-7898)。

澳门葡京平台 2

澳门葡京平台 3

澳门葡京平台 4

澳门葡京平台 5

澳门葡京平台 6

谷歌的Project Zero团队用了一周的时间来检查三星Galaxy S6 Edge所用的Android系统,挑战了Android系统中最容易受到攻击的安全边界,目的是看他们是否能够在无需用户参与的情况下远程获取用户的联系人、照片和短信等资料;另外,零点项目团队还利用Google Play安装的一款不需要用户授权的应用去尝试攻击Android系统;最后还对恢复出厂设置但仍然存在安全漏洞的设备进行了攻击。

谷歌Project Zero团队在接受媒体采访时表示,Android的受让方是Android安全研究的一个重要领域,因为他们会在最高权限级别向Android设备中添加各种代码,而那些代码可能包含安全漏洞,而且他们提供给设备运营商的安全升级的发布频率也是由各家Android厂商自己决定的。

“这是多么的令人感到遗憾,用于解压缩文件的API并不会核实文件路径,所以能够从不期望的地址上执行写入操作,使用Dalvik缓存能够充分利用漏洞。”

本文由澳门新葡8455最新网站发布于互联网,转载请注明出处:用户只要点击PNG图片就可能遭受远程攻击,安卓

上一篇:Build2016上值得一看的大数据相关Session,提升云计 下一篇:没有了
猜你喜欢
热门排行
精彩图文