熔接机厂家
免费服务热线

Free service

hotline

010-00000000
熔接机厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

视频IBM安全研究团队Android特权提升漏洞影响55的装备

发布时间:2020-03-23 11:12:47 阅读: 来源:熔接机厂家

IBM旗下X-Force运用安全研究团队的研究人员,在Android和某些热门运用的SDK上发现了一套漏洞。其中最糟的居然可以让一个看似无害的运用在装备上运行任意代码,并且影响全球55%的Android装备(版本4.3及以上)。该团队在视频中进行了概念验证,并且成功替换了装备上的Facebook app。

据悉,Google和SDK的开发商均以提供了软件补钉,但考虑到非Nexus装备的更新推送工作必须通过原始装备制造商(OEM)或运营商进行,所以当前绝大多数用户仍面临相当大的风险。

研究人员表示,目前暂未在外界看到任何利用该漏洞的情况,但情况极可能在任何时刻产生改变。

该漏洞主要归咎于Android在进程间通讯(IPC)时的薄弱代码,更具体点说就是OpenSSLX509Certificate类。

攻击者可以在无需特殊权限的情况下,利用该漏洞将恶意代码诸如到IPC要求队列中,如此一来,该运用就能够取得系统级的权限。

WOOT15 One Class To Rule Them All

研究人员在某些运用的SDK中也发现了类似漏洞,在调查的37701款app中,有许多都触及这方面,乃至有些运用依赖于高达6个的风险SDK。

通过一款名叫SWIG的低级别工具包,攻击者可以很轻松地向目标注入代码。在这种情况下,歹意运用可以假借某个脆弱的app之手获得相同的权限,乃至完全访问该运用的程序、数据和功能。

有关这些漏洞的详情,已发表在IBM Security的研究论文上(PDF传送门)

[编译自:TechReport , via:Security Intelligence]

天津最好的妇幼保健院

成都九龙整形医院热门文章

重庆五官医院排名