www射-国产免费一级-欧美福利-亚洲成人福利-成人一区在线观看-亚州成人

用戶名 密碼 注冊
訂閱手機(jī)報(bào)國際 中國 博覽 財(cái)經(jīng) 汽車 房產(chǎn) 科技 娛樂 體育 時(shí)尚 旅游 健康 移民 親子 社區(qū) 專題

國外機(jī)構(gòu)曝光Android致命漏洞影響全球用戶

2013-07-15 14:50:02 來源:IT時(shí)報(bào)
中國日報(bào)-看世界+加關(guān)注 打印 發(fā)送 字號 T | T 我來說兩句2311人參與)
免費(fèi)訂閱30天China Daily雙語新聞手機(jī)報(bào):移動用戶編輯短信CD至106580009009

安卓用戶,你們攤上大事了!專家預(yù)測,下周或?qū)⒊醅F(xiàn)漏洞攻擊,國內(nèi)99.9%用戶暫“不設(shè)防”

該安全漏洞從Android 1.6以來就一直存在,凡近4年來的任何一款A(yù)ndroid手機(jī),都無法幸免。

國內(nèi)技術(shù)專家還指出,谷歌軟件更新走的是明文通信,一旦黑客通過流量劫持了某個(gè)應(yīng)用,比如Gmail,就可以截獲密碼和賬號,并推給用戶一個(gè)木馬更新包,如果這樣,用戶幾乎鐵定會中招。

7月8日下午,美國某黑客組織透露出該漏洞的一個(gè)關(guān)鍵技術(shù)細(xì)節(jié),根據(jù)以往經(jīng)驗(yàn),攻擊者可能在一兩周內(nèi)發(fā)起攻擊。

7月3日,美國安全公司Bluebox Security發(fā)布公開聲明稱,發(fā)現(xiàn)Android系統(tǒng)重大安全漏洞,允許攻擊者能將99%的應(yīng)用程式轉(zhuǎn)變成木馬程序。數(shù)據(jù)顯示,目前全球共有9億多安卓用戶,中國用戶數(shù)超1億,根據(jù)《IT時(shí)報(bào)》記者調(diào)查,幾乎所有上述用戶都對潛在的黑客攻擊完全沒有防范,也就是說一大半中國智能手機(jī)用戶門戶大開。

美安全公司披露可怕事實(shí)

Bluebox公司表示,黑客可在不改變應(yīng)用密鑰簽名的情況下篡改 APK(安裝包)代碼,這意味著任何看似合法安全的應(yīng)用均有可能內(nèi)嵌有惡意代碼。

根據(jù)Bluebox公司首席技術(shù)官Jeff Forristal的說法,通過漏洞,木馬可以讀取設(shè)備(Android)上任意手機(jī)應(yīng)用的數(shù)據(jù)(電子郵件、短信、文檔等),獲取保存在手機(jī)上的所有賬號和密碼,接管并控制手機(jī)的正常功能。

Jeff Forristal透露,今年2月已將這個(gè)漏洞交給谷歌公司,他將會在7月底召開的美國黑帽黑客大會上披露更多該漏洞技術(shù)細(xì)節(jié)。

情況到底有多糟?

“我們已經(jīng)知道是怎么回事了,還在做最后的演示案例,驗(yàn)證后才能發(fā)布準(zhǔn)確的信息。”安天實(shí)驗(yàn)室高級研究員肖梓航是國內(nèi)第一時(shí)間研究該漏洞的技術(shù)專家之一,他向《IT時(shí)報(bào)》記者表示,國內(nèi)技術(shù)界已基本掌握情況。

肖梓航進(jìn)一步表示:“安卓所有軟件層面的安全機(jī)制都是基于簽名來做的,現(xiàn)在開發(fā)者身份可以完全被冒充,這等于從技術(shù)上把原有的安全機(jī)制都打破了。”

肖梓航向記者舉了一個(gè)例子,例如某用戶裝了一個(gè)新浪微博,原來只有新浪官方才能發(fā)布有效更新安裝包,而現(xiàn)在不法分子也可能利用漏洞,冒充新浪,讓該用戶安裝帶有木馬的“假新浪微博更新包”。“以前這樣是行不通的,原版軟件會報(bào)錯(cuò),但現(xiàn)在利用該漏洞就可以做到,而且手機(jī)用戶完全覺察不到。”

“影響是非常大的。”肖梓航感嘆,“用戶手機(jī)里有大量賬號服務(wù)密碼,包括買手機(jī)時(shí)預(yù)裝的服務(wù),現(xiàn)在這些都可以被篡改,攻擊者可以把你的賬號和密碼劫持下來,發(fā)回去,一切都是神不知鬼不覺。”

S4是唯一安全的安卓手機(jī)?

截至記者發(fā)稿,谷歌公司一直沒有對此事表態(tài)和正面回應(yīng)。根據(jù)Bluebox公司的聲明,谷歌公司應(yīng)該在今年2月已經(jīng)收到該漏洞報(bào)告,難道谷歌5個(gè)月來一直無動于衷?

在新浪微博上,幾乎所有針對此次Android漏洞門的微博中,網(wǎng)友都注意到一個(gè)細(xì)節(jié)并對此大肆調(diào)侃。由于Bluebox稱,除了三星Galaxy S4之外的所有Android手機(jī)都有此漏洞,唯獨(dú)S4已打上補(bǔ)丁,所以不少網(wǎng)友在微博評論和轉(zhuǎn)發(fā)中調(diào)侃道,這是三星的“廣告帖”、“Bluebox無節(jié)操”。

實(shí)則不然,根據(jù)一位OHA(由谷歌發(fā)起的開放手機(jī)聯(lián)盟)國內(nèi)廠商技術(shù)人士告訴記者,其實(shí)早在今年4月,谷歌就針對該漏洞向所有OHA聯(lián)盟廠商發(fā)布了補(bǔ)丁,“我得知此事后,翻閱了歷史記錄,發(fā)現(xiàn)了谷歌確實(shí)在4月份發(fā)出過這則補(bǔ)丁。不過并沒有引起我們的注意。”

上述技術(shù)人士告訴記者,之所以三星S4已經(jīng)打上補(bǔ)丁,因?yàn)檫@是一款最新上市的手機(jī),三星第一時(shí)間更新了軟件,國內(nèi)廠商的反應(yīng)還沒這么快。

最新安卓手機(jī)相對安全

如果從Bluebox公司7月3日發(fā)布報(bào)告算起,下周可能就將有黑手觸及該漏洞。這意味著,將有Android手機(jī)用戶中招,國內(nèi)用戶的感染風(fēng)險(xiǎn)很大。

7月8日晚,全球最大的Android第三方編譯團(tuán)隊(duì)CyanogenMod公布了針對該漏洞的補(bǔ)丁,這標(biāo)志著,全球黑客已經(jīng)基本掌握Bluebox公布的漏洞細(xì)節(jié)。

事實(shí)上,Jeff Forristal最擔(dān)心的就是亞洲和中國,他表示,因?yàn)樵摰貐^(qū)有 500 多個(gè)獨(dú)立的 Android 應(yīng)用商店,這些應(yīng)用商店很少或沒有對應(yīng)用上架進(jìn)行鑒權(quán)驗(yàn)證的過程,這就使得木馬程序可能在這些網(wǎng)站上大面積上架。

移動技術(shù)專家Weir Zhang表示,可以預(yù)見,未來數(shù)月內(nèi)OHA聯(lián)盟廠商如摩托羅拉、HTC、LG、索尼等發(fā)布的新機(jī)或?qū)⒓由显撗a(bǔ)丁,而且谷歌應(yīng)該也會在Google Play應(yīng)用市場進(jìn)行技術(shù)過濾,包含木馬的Android將無法上架。

另外,Weir Zhang透露,谷歌目前已將該漏洞補(bǔ)丁設(shè)為CTS(谷歌)兼容性測試終端認(rèn)證的必過項(xiàng),這證明新上市的大品牌安卓手機(jī)將是安全的,不過國內(nèi)不少終端廠商并未參與谷歌的CTS認(rèn)證。“所以,中國消費(fèi)者在購買山寨機(jī)和白牌機(jī)時(shí)需要特別小心,如果買到預(yù)裝木馬程序的手機(jī),將造成很大損失。”

時(shí)報(bào)觀察

一個(gè)難以補(bǔ)上的漏洞

現(xiàn)在,擺在中國和全球Android用戶面前的難題是,發(fā)現(xiàn)漏洞了,該如何修補(bǔ)?就像發(fā)現(xiàn)了一個(gè)病毒,而且研制出了疫苗,但如何讓全球數(shù)億安卓用戶主動接種“疫苗”,將是個(gè)大問題。

哪些人是安全的?

除了三星Galaxy S4手機(jī)用戶之外,谷歌OHA廠商今后推出的新機(jī)都將是安全的,目前中國國內(nèi)加入OHA聯(lián)盟的廠商有華為、中興、TCL、OPPO、聯(lián)想和海爾。同時(shí),中國電信、移動和聯(lián)通也加入了該聯(lián)盟,這意味著未來三大運(yùn)營商推出的定制安卓手機(jī)終端可能也將升級。

哪些人不安全?

除此之外,幾乎所有安卓手機(jī)和平板電腦用戶目前的系統(tǒng)都是不安全的,存在Bluebox公布的漏洞,值得慶幸的是,目前全球范圍內(nèi),還未發(fā)現(xiàn)黑客借助此漏洞攻擊用戶的案例。

但需要提醒的是,隨著時(shí)間推移,技術(shù)細(xì)節(jié)會被逐漸披露,黑色產(chǎn)業(yè)鏈也將知曉,而且該漏洞很容易被利用,迷惑性和危害性都很大。

安卓用戶如何防范?

Android系統(tǒng)與微軟Windows不同,Windows可以在一個(gè)統(tǒng)一平臺上自動聯(lián)網(wǎng)更新,但Android不行,用戶不能自動更新,必須等待硬件和手機(jī)廠商出臺補(bǔ)丁,然后再由用戶主動來打,這是在所有用戶中推廣補(bǔ)丁的最大難題。

目前三星、摩托羅拉、LG、華為等主流安卓手機(jī)制造商,都沒有在各自官方網(wǎng)站發(fā)布漏洞補(bǔ)丁程序,供用戶下載。因?yàn)樵诖酥埃謾C(jī)廠商沒有發(fā)布類似軟件升級補(bǔ)丁的慣例,同時(shí),用戶更沒有登錄這些網(wǎng)站升級手機(jī)系統(tǒng)的習(xí)慣。這次的漏洞對于手機(jī)廠商和用戶來說都是頭一次遭遇。

當(dāng)然,現(xiàn)有安卓手機(jī)用戶可以不為自己的手機(jī)打補(bǔ)丁,但必須做到一點(diǎn),就是今后所有的Android應(yīng)用都去Google Play官方市場下載,以保證安全。

潛在的風(fēng)險(xiǎn)在哪里?

目前來看,中國安卓用戶對該漏洞尚不知曉,更談不上防范,即便就算谷歌公布了補(bǔ)丁的下載地址,也難說會有多少用戶主動下載升級。中國手機(jī)用戶的安全意識還不健全。

在五花八門的第三方Android應(yīng)用下載市場,在手機(jī)論壇的下載頻道,在山寨機(jī)的預(yù)裝程序中,在各種自主開發(fā)手機(jī)ROM中,木馬程序都可能滲入其中,為安卓手機(jī)用戶埋下“地雷”。

編輯: 中文國際實(shí)習(xí)1 標(biāo)簽: 安卓系統(tǒng) 漏洞攻擊
...
中國日報(bào)網(wǎng)版權(quán)說明:凡注明來源為“中國日報(bào)網(wǎng):XXX(署名)”,除與中國日報(bào)網(wǎng)簽署內(nèi)容授權(quán)協(xié)議的網(wǎng)站外,其他任何網(wǎng)站或單位未經(jīng)允許禁止轉(zhuǎn)載、使用,違者必究。如需使用,請與010-84883300聯(lián)系;凡本網(wǎng)注明“來源:XXX(非中國日報(bào)網(wǎng))”的作品,均轉(zhuǎn)載自其它媒體,目的在于傳播更多信息,其他媒體如需轉(zhuǎn)載,請與稿件來源方聯(lián)系,如產(chǎn)生任何問題與本網(wǎng)無關(guān)。
...
24小時(shí)新聞排行
主站蜘蛛池模板: 精品一区二区视频 | 97精品国产综合久久久久久欧美 | 女让张开腿让男人桶视频 | 亚洲高清毛片 | 欧美一区二区在线视频 | 久久免费精品 | 一级做a爰片性色毛片视频图片 | 97久久天天综合色天天综合色 | 色黄啪啪18周岁以下禁止观看 | 国产成人啪精品午夜在线观看 | 国产精品制服 | 欧美在线成人午夜影视 | a毛片免费全部播放毛 | 日本美女视频韩国视频网站免费 | 亚洲日本视频 | 国产精品久久久久久久9999 | 欧美另类专区 | 国产乱色在线观看 | 日韩激情中文字幕一区二区 | 黄视频在线免费 | 毛片免费在线播放 | 中国国产成人精品久久 | 美女黄页网站 | 国产精品国产 | 国产高清成人mv在线观看 | 免费在线成人网 | 国产香港特级一级毛片 | 一区二区三区四区产品乱码伦 | 亚洲第一区香蕉_国产a | 一区二区三区不卡在线观看 | 欧美精品久久久亚洲 | 欧毛片| 国产欧美日韩在线观看 | 亚洲男人天堂视频 | 东京一区二区三区高清视频 | 91视频18| 玖玖视频精品 | www.日本在线观看 | 国产欧美日韩不卡一区二区三区 | 国产精品成人在线播放 | 日韩欧美一级 |