【科技】漏洞警告：安卓系统再曝“证书门”

本篇文章591字，读完约1分钟

是

只是本该是a其他a其他是a访问[[还不是.还不是.不过是ccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc

接下来，第o，a，，，，，，，，，，，，，，，，大多数，，，但他们

第一种攻击方法是使用社会通信工程方法下载攻击目标，安装恶意应用程序或部署在google play商店。 星期四，在这两位研究者开始自己的黑帽大会证书门研讨会之前，他们向福布斯展示了这样的应用。 使用手电筒工具，看起来很合规，需要的权限也很少。 但是，这个应用程序可以使用特殊的证书很容易地模拟成远程访问工具，从而获得手机的完全权限。 这与普通的远程支持插件相同。

更令人担心的是，攻击者向手机发送邮件，让哪个远程访问工具执行命令。 由此，攻击者可以从自己控制的软件方面向入侵的设备发出命令。 应用对命令不正确&lsquo； 消毒解决的博罗夫说。 再次，这就像stagefright媒体播放工具本周在修补程序之前存在的漏洞一样，更有效地获得了设备的控制权限，不需要客户的参与。

check point说，为了妥善完全处理这个问题，Google的制造商合作伙伴和运营商需要合作，升级teamviewer、rsupport、communitake等脆弱的插件

星期四，这家位于特拉维夫的公司发布了一个应用程序，扫描漏洞远程访问插件，检测手机是否受到攻击。 这个应用程序是免费的。 为了安全请试试。

check point发布了一个扫描仪应用程序，用于检测所谓的证书门攻击。 客户应该可以代替补丁保护自己。

与Android系统中存在的其他安全问题一样，这个平台的碎片化使阻止脆弱性成为一项困难的任务。 博罗夫声称客户试图卸载脆弱的插件，但如果是预装的应用程序，客户无法卸载，只有安全补丁才能提供保护。

check point说，他一直在就这个问题与谷歌及其合作伙伴进行合作。 福布斯向谷歌、三星、索尼( sony )、联想、lg、摩托罗拉( motorola )、htc等所有主要Android设备制造商发表了评论，询问补丁什么时候可以推送给客户

谷歌的一位发言人感谢博罗夫和巴山报告脆弱性的行动。 他们报告的问题包括OEM定制安卓设备的改造，这些制造商提供了可以解决问题的安全更新。 nexus设备不受影响，也没有人试图利用此漏洞发动攻击。

为了攻击客户，必须安装可能对手机有害的应用程序。 verifyapps和safetynet不断监视这些应用程序。 强烈建议您从可靠源(如google play商店)安装应用程序。

根据htc，他们7月初发布了必要的补丁。 包含所有后续产品所需的修补程序。 本文没有其他制造商的回答。

博罗夫看着安全补丁被推送，但他很担心安卓手机的架构。 如果应用程序想对话，即使有漏洞，制造商也必须签署它们。 我们永远摆脱不了这个问题。 博洛夫补充了。

另外，谷歌发表了一系列提高安卓安全性的措施，stagefright的脆弱性处理并淡化了本月初发生的骚动。 lg和三星一起，谷歌承诺每月向自己公司品牌的手机推送安全更新。

该公司还表示，90%的安卓手机应用了名为addresspacelayoutrandomization ( ASLR )的随机内存技术，应该可以保护客户免受stagefright的漏洞攻击。

发现stagefright漏洞的研究者约书亚·德里克( joshua drake )说，应用aslr技术的安卓手机比例很可能达到87%。 尽管如此，理论上可以通过暴力破解和其他漏洞绕过aslr机制。

无论程序员和硬件制造商怎么努力，总是有办法绕过他们的安全对策。

为什么没有鱼学校陈岳林？