谷歌公布安卓系统存在高危漏洞,恐数百万安卓设备受威胁
Google Android 合作伙伴漏洞计划(APVI)网站上有一个关于影响数百万 Android 设备安全漏洞的新帖子。黑客能够通过该漏洞在诸多 Android 系统 OEM 厂商手机中植入恶意软件并且同时获取系统最高权限。
Google 员工和恶意软件逆向工程师卢卡兹・塞维尔斯基(Łukasz Siewierski)最先发现该漏洞的关键是平台证书的问题,他表示设备上 Android 版本的合法性取决于这些证书或签名密钥。供应商也使用这些证书来签署应用程序。
在用户安装每个应用程序时,Android 系统都会给用户安装的每个程序分配一个独特的用户 ID(UID),该应用程序签署的密钥同时可以共同享有该 UID,对数据进行访问。与操作系统本身使用相同证书签署的应用程序也拥有一样的特权。
而问题的关键是,有些OEM厂商的Android平台证书泄露给了心术不正的人。恶意应用通过签署这些泄露的证书,在不用通过用户的确认的情况下直接拥有与 Android 系统一样的权力,并且可以直接读取用户的全部数据。
原文始发于微信公众号(安世加):谷歌公布安卓系统存在高危漏洞,恐数百万安卓设备受威胁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论