通信科技/NEWS CENTER

Android没救了?新漏洞竟由OEM预装

发布时间:2017-12-28

  Android没有保存?这个新的漏洞实际上是由OEM预装的

  据雅虎消息,安全研究人员发现了新的Android漏洞Certifi-gate,并表示所有OEM设备的漏洞都出现了。 Android最近真的很痛苦,过去两周至少发现两个严重漏洞。现在,安全公司Check Point的Ohad Bobrov和Avi Bashan发现了另一个漏洞:Certifi-gate。据了解,这个漏洞出现在所有OEM设备上,允许第三方插件通过远程支持访问,控制设备的屏幕,并使用授权证书颁发的OEM。据悉,两名安全研究人员发现mRSTs(移动远程支持工具,远程访问手机,记录用户输入和屏幕截图)显示的功能非常类似于被称为mRATs(移动远程访问木马)的恶意软件,唯一的区别是是否为了犯罪目的而开发。 mRAT需要用户安装才能正常工作,而mSRT则是由OEM厂商预先安装的,由于mSRT功能强大且具有攻击性,因此软件需要特殊权限,由OEM厂商签名,这样软件分为用户实际看到的和后端提供权限的插件当需要特殊权限时,软件首先连接到插件(插件可以是没有该类型软件的手机)已经包括在内)。 mSRT的诞生是软件向插件发送权限请求。但是,企业已经在Android的Binder上开发了自己的认证工具,但是这些工具并不属于自己的认证过程,问题就出在这里,研究人员可以通过这个双重使用插件的权限来访问设备,据Check Point技术负责人Avi Bashan说,这个漏洞是由于Android的安全架构问题,而且OEM厂商开发的远程控制工具是为了使这个漏洞得到解决由于Android设备较长的更新周期可能无法在短期内完全修复。据说这次三星,HTC,LG,华为,联想都没有生过孩子,而Google的Nexus设备还不太成熟,直接的解决办法可能是开发一个更好的插件软件连接认证系统。当然,如果你对拍砖有特别的兴趣,你可以尝试自己解决。

狗万赢钱提款好快

2017-12-28

更多内容,敬请关注:

狗万赢钱提款好快官网:/

狗万赢钱提款好快新浪官方微博:@狗万赢钱提款好快

狗万赢钱提款好快发布微信号: