手機(jī)
手機(jī) 手機(jī)資訊 手機(jī)新聞 94%的安卓設(shè)備都有這個(gè)要命的漏洞!
安卓
06月 30

94%的安卓設(shè)備都有這個(gè)要命的漏洞!

編輯:匿名 來源:快科技
放大 縮小 打印 郵件 收藏本頁 游吧論壇

趨勢(shì)科技最近研究發(fā)現(xiàn),安卓系統(tǒng)的調(diào)試器(Debuggerd)內(nèi)存在一個(gè)重大安全漏洞,配合其他漏洞可導(dǎo)致任意代碼執(zhí)行,尤其是暴露內(nèi)存中的數(shù)據(jù)。

該漏洞存在于安卓4.x/5.x的所有版本中,Ice Cream Sandwich、KitKat、Lollipop都無法幸免。

誘發(fā)漏洞

根據(jù)Google官方數(shù)據(jù),這幾個(gè)版本是目前最普及的,在安卓設(shè)備中的合計(jì)比例高達(dá)94.1%,意味著絕大多數(shù)用戶都無法幸免。

內(nèi)存數(shù)據(jù)暴露

趨勢(shì)科技表示,攻擊者可以創(chuàng)建一個(gè)特殊的ELF(可執(zhí)行與可鏈接格式)文件,導(dǎo)致調(diào)試器崩潰,此時(shí)安卓系統(tǒng)會(huì)老老實(shí)實(shí)地導(dǎo)出DUMP轉(zhuǎn)存、LOG日志文件,而它們都是未加密的,可以隨便訪問。

截止6月1日安卓版本分布

當(dāng)然,僅僅如此是無法執(zhí)行代碼的,但是其中泄露的信息可用來被繞過ASLR(尋址空間布局隨機(jī)化)保護(hù),進(jìn)而任意執(zhí)行惡意代碼,尤其是可以通過反復(fù)崩潰調(diào)試器而發(fā)起DoS拒絕服務(wù)攻擊。

趨勢(shì)科技早在今年4月27日就向Google私下報(bào)告了此漏洞,而后者認(rèn)為此漏洞并不算很嚴(yán)重,給了一個(gè)很低的評(píng)級(jí)。

目前,安卓4.x/5.x是否會(huì)有修復(fù)補(bǔ)丁尚不得而知,而未來的Android M會(huì)修復(fù)它,但得到10-11月份才會(huì)發(fā)布。

AOSP(安卓開源工程)自5月15日起已經(jīng)修復(fù)了漏洞,所以手機(jī)廠商、運(yùn)營商完全可以隨時(shí)整合并推送給用戶,但一般來說,這個(gè)過程都需要幾個(gè)月的時(shí)間。

打印 郵件 收藏本頁 幫肋
推薦閱讀
相關(guān)閱讀