用户只要点击PNG图片就可能遭受远程攻击,三星

2019-11-21 作者:互联网   |   浏览(172)

Google在今年2月发布的Android安全更新中,修补了3个涉及PNG文件的重大漏洞,相关漏洞允许黑客在PNG中植入恶意程序,用户只要点击PNG图片就能触发漏洞,而惹来远程程序攻击。

图片 1

据最新报道,近一周的时间里,谷歌的团队一直在尝试挑战“Android的安全界限”,它们想知道自己能否通过一定的手段,在不和用户交流的前提下,远程获取到用户的通讯录、照片和信息;寻找那些从Google Play下载的,但却未经用户允许的app;还有那些可以逃过检测直接安装到手机中的攻击软件。

PNG文件的全名为Portable Network Graphics,为一专为网络传输所设计的文件格式,并准备用来取代GIF。

图片 2

根据Google的说明,本次更新最严重的安全漏洞藏匿在框架(Framework)中,允许远程黑客通过特定的PNG文件,在特权流程中执行任意程序,包括CVE- 2019-1986、CVE-2019-1987及CVE-2019-1988,波及从Android 7.0到Android 9的各种Android版本。

谷歌的Project Zero团队用了一周的时间来检查三星Galaxy S6 Edge所用的Android系统,挑战了Android系统中最容易受到攻击的安全边界,目的是看他们是否能够在无需用户参与的情况下远程获取用户的联系人、照片和短信等资料;另外,零点项目团队还利用Google Play安装的一款不需要用户授权的应用去尝试攻击Android系统;最后还对恢复出厂设置但仍然存在安全漏洞的设备进行了攻击。

这代表Android用户只要点击可爱的猫、狗图片,或是看起来无害的风景照,都可能遭到远程程序攻击。

谷歌Project Zero团队在接受媒体采访时表示,Android的受让方是Android安全研究的一个重要领域,因为他们会在最高权限级别向Android设备中添加各种代码,而那些代码可能包含安全漏洞,而且他们提供给设备运营商的安全升级的发布频率也是由各家Android厂商自己决定的。

来自Tripwire的安全研究人员Craig Young指出,相关漏洞与Android在描绘图片之前如何进行解析有关,这些漏洞之所以存在是因为Android依然在特权流程中解析媒体文件。 Young认为,媒体处理是风险最高的活动之一,自动化的媒体解析不但应该要保持在最低限制,也应该在隔离的环境中执行。

谷歌团队披露漏洞细节

尽管Google宣称尚未发现黑客的攻击行动,而且已将修补版本发布至Android开源项目(Android Open Source Project,AOSP),但目前只有诸如Pixel等Google品牌的设备可直接取得Google的安全更新,至于其它品牌的手机或平板则仍得视设备制造商或电信企业的更新进程才能取得修补,意味着仍有众多的Android设备陷于该重大安全风险中。

谷歌研究人员最终发现,三星的代码中有11处安全漏洞。黑客可以借助这些漏洞制作具有系统特权的文件,窃取用户电子邮件,并在内核中执行代码,同时增加特权和非特权应用。

本文由奥门金沙网址发布于互联网,转载请注明出处:用户只要点击PNG图片就可能遭受远程攻击,三星

关键词:

  • 上一篇:没有了
  • 下一篇:没有了