本文講的是驍龍晶元存嚴重安全漏洞 超十億安卓手機面臨威脅,超過十億安卓裝置搭載的驍龍晶元存在嚴重漏洞,黑客可通過任意惡意軟體獲取裝置 root 許可權。
趨勢科技公司的安全研究人員對安卓使用者發出警告稱,高通驍龍晶元中核心級程式設計的一些部分存在嚴重漏洞,攻擊者可以利用其獲得 root 許可權,進而完全控制裝置。
獲取裝置 root 許可權是個值得關注的問題,攻擊者可以獲得管理員級的許可權,使用你的裝置對付你:操控攝像頭拍照、窺探賬戶密碼、電子郵件、簡訊、**等個人資訊。
高通官方**上的資訊顯示,驍龍晶元組工作在超過10億智慧型裝置上,包括如今的很多物聯網裝置。因此,該漏洞可能導致許多人暴露在黑客攻擊的風險中。儘管谷歌已經在趨勢科技私下上報該漏洞之後發布了乙份補丁,防止攻擊者利用特製的應用獲取 root 許可權,使用者可能不會很快收到更新。
谷歌發布的安全更新要想到達你的裝置上,需要經過一條長長的鏈條:
高通 -> 谷歌-> 你的裝置生產商 -> 你的通訊運營商 -> 遠端為你的裝置打補丁
趨勢科技工程師吳魏雪(wish wu)說:「考慮到很多受影響裝置已經不在提供支援的列表之內,沒有補丁,它們在未來的安全狀況十分堪憂。
更糟糕的事情是很多存在漏洞的晶元被用在了不再接受安全更新的物聯網裝置上,導致黑客有可能獲取這些裝置的 root 許可權。這種狀況更加令人擔憂。
趨勢科技的諾亞·加穆(noah gamer)說:「智慧型手機不是唯一的問題,高通還向物聯網裝置廠商**了不少晶元組,導致此類小裝置也存在風險。」
如果物聯網正像許專家**的那樣廣泛,必須建立某種系統,保證這些裝置可以安全地用在公開場所。如今,安全公升級絕對有必要,這些互聯裝置的使用者需要知道他們面對的是什麼。
不論由什麼原因造成,如果安全公升級無法觸及一些裝置,或者太晚才到,都給了歹徒大量的時間來控制你的裝置。
幸運的是,一些使用者購買的是谷歌官方的手機,他們可以直接從這家科技巨頭處獲取安全更新,消除裝置上的漏洞。這些裝置包括:
nexus 5x
nexus 6p
nexus 6
nexus 5
nexus 4
nexus 7
nexus 9
nexus 10
如果智慧型裝置使用800、805、810型號的高通驍龍800系列處理器,並執行3.10版本的核心,就會受到該漏洞影響。
漏洞**在安卓4.x-6.x版本中都存在。在測試中,研究人員發現 nexus 5 、 6 、 6p 和三星 galaxy note edge 使用的是存在漏洞的核心**。
研究人員還沒有測試每種安卓手機和平板,但這個裝置名單應當會非常長。
目前還沒有關於此漏洞的詳盡報告出爐,以下可以檢視該漏洞的一些簡要資訊:
高通相關漏洞(cve-2016-0819):研究人員上報稱,該漏洞可以篡改安卓裝置被釋放後的一小部分核心儲存空間,導致資訊洩露,以及釋放後重用(use after free)問題。
cve-2016-0805:存在於高通晶元組核心函式 get_krait_evtinfo 中。 get_krait_evtinfo 函式向陣列返回乙個其它核心函式的索引,導致緩衝區溢位。
獲得 root 許可權:如果攻擊者在目標裝置上使用以上兩個漏洞,可以獲得裝置的 root 許可權。
研究人員會在2023年5月下旬荷蘭舉辦的 hack in the box 安全大會上發布該漏洞的詳細利用流程。
Linux Glibc庫嚴重安全漏洞檢測與修復方案
2015年1月27日 linux gnu glibc標準庫的 gethostbyname函式爆出緩衝區溢位漏洞,漏洞編號為cve 2015 0235。黑客可以通過gethostbyname系列函式實現遠端 執行,獲取伺服器的控制權及 shell 許可權,此漏洞觸發途徑多,影響範圍大,已確認被成功利用...
Linux Glibc庫嚴重安全漏洞及修復方法
日前linux gnu glibc標準庫的 gethostbyname函式爆出緩衝區溢位漏洞,漏洞編號為cve 2015 0235。黑客可以通過gethostbyname系列函式實現遠端 執行,獲取伺服器的控制權及shell許可權,此漏洞觸發途徑多,影響範圍大,請大家關注和及時臨時修復,後續我們會盡...
ZigBee被曝出有嚴重的安全漏洞
1 zigbee被曝出有嚴重的安全漏洞 伴隨科技的快速演進,物聯網 the internet of things,iot 概念再次興起,人們身邊的日常用品 終端裝置 家用電器等也逐步被賦予了網路連線的能力。然而作為連線上述裝置所廣泛使用的重要無線互聯標準之一,zigbee技術卻於近期召開的2015黑...