pc捍卫者
 当前位置 → pc捍卫者pc网络安全 → 浏览正文
Android发现最严重安全漏洞
作者:本站综合    来源:www.pchwz.com    更新时间:2011年02月16日

木马获取SD卡文件

Android发现最严重安全漏洞

树大招风,在智能手机系统方面Android已经长成一棵大树,而此次招来的安全风险最为严重,木马可以获得非常高的权限,直接获取SD卡内的文件,网友中正在使用Android系统手机的朋友一定要引起高度的重视.

Android系统在智能手机和平板机市场迅速崛起的同时,安全问题也更加引人注目,近日一个涉及到全版本Android系统的恶意漏洞被公布,而这一漏洞很可能就是Google延迟发布Android 2.3版系统的原因。

信息安全研究人员Thomas Cannon今天将这一漏洞公布于世,借助这个新的漏洞,恶意攻击者可以在引诱用户打开恶意网页,手机内置的浏览器就会下载并执行一个Javas cript木马,该木马可以获取SD卡上指定的文件。

Thomas Cannon在几天前已经通知了Google,Android开发团队在20分钟内做出了回应,并表示已经针对该漏洞展示工作,将会在即将公布的Android 2.3版操作系统中进行修复。

但是这样的修复并不能拯救全部的Android设备,因为在2.3版系统发布之后只有少量机型能获取更新,数以千万计的Android设备要么不能更新2.3版系统,要么运行有厂商制作的自定用户界面系统,威胁仍会存在。Google应该做的是针对不同版本系统推出单独的浏览器升级或者修复补丁,才能将恶意网页木马拒之门外。

以下为Thomas Cannon公布的漏洞详情:

在一天晚上对Android系统进行应用程序安全评估的时候,Thomas Cannon发现了一个全版本普遍存在的漏洞,恶意网站将可以获取任何SD卡上存储的文件。

该漏洞的存在有多种因素,具体的实施过程为:

- Android内置浏览器不提示用户静默下载一个文件,比如“payload.html”,改文件会自动下载到 /sdcard/download/payload.html目录

- 通过Javas cript运行该文件,并在Android浏览器中显示这个本地文件,运行过程没有任何提示

- 成功打开时候,Javas cript将可以阅读任何本地文件内容和其他数据

一旦Javas cript获取某个文件内容之后,木马将拥有自动发送的功能和权限,将获取的文件发送至指定位置。

目前该漏洞也存在的限制,攻击者必须指定要盗取的文件的路径和名称,比如要偷取用户的照片,就必须指定照片文件夹和文件名。不过这样的限制并不能困住攻击者,因为大部分的手机都会默认某一类文件的目录和存储名称,攻击者只需要按照系统默认设置手动指定即可。

目前大家能做的也就是不要用手机访问不明网站,还有拍照一定用相机,千万别用手机。

另外一个限制就是不能像ROOT浏览器那样访问Android系统内的受保护数据,只能在沙箱中运行,文件访问范围为SD卡或者其他少量数据。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点

上一篇:情人节网购小心钓鱼网站      下一篇全国网络瘫痪电信DNS故障为祸端
Tags:
 
 
>> 推荐文章
·网络安全之12360崩了!
·最强手机芯片骁龙865跑分
·人民日报35岁现象怎么解析?
·卫星传输数据到iPhone的办法
·苹果手机销量暴降35%!
·红米K30普通版5G版,怎样选择K
·预计2025年5G用户渗透率为48
·红米K30真阉割版5G手机吗?
·Android 10与 iOS 1
·高通骁龙 865详细性能参数
·安卓的这个漏洞一直都还在
·苹果明年iPhone中或支持5G
·问题:5G网络什么时候才能普及?
·“携号转网”能否随心所欲?
·英特尔处理器缺货转投AMD
·国产OLED在市场的地位逐渐凸显
·交通安全日注重生命安全
·《携号转网服务管理规定》今起施行
>> 赞助商链接
|pc捍卫者|捍卫你地盘|唯尚技术|||版权声明|关于我们
本站文章除原创者其余源自网络,如有侵权请联系站长,将于24小时内删除