定制手機含多個安全漏洞
日前,在中國互聯網安全大會移動安全分論壇上,360首席科學傢、北萊羅納州大學蔣旭憲教授表示,當前主流定制手機中,平均每款含有20個漏洞,黑客可以借助這些漏洞偽造欺詐短信,並竊取手機用戶隱私,而目前,約有70%的Android手機漏洞是由廠商定制引起。
蔣旭憲介紹,他與其360移動研究人員對當前國內外9個主流安卓手機廠商,包括三星S4在內共20多款主流手機進行測試研究,結果發現,這些參測手機無一幸免全部含有漏洞,而且每款手機漏洞數量驚人。
研究發現,這些漏洞的主要類型為欺詐短信和簽名漏洞,即欺詐漏洞一旦被黑客利用,可造成惡意程序偽造銀行短信等欺詐行為,而簽名漏洞更加可怕,使黑客可在不破壞數字簽名的情況下篡改任意應用。大會上,蔣旭憲及其研究人員周亞金還針對黑客如何利用短信欺詐漏洞偽造銀行短信進行瞭現場演示,並針對此案例進行瞭深入剖析。
會議中研究人員表示,針對短信欺詐漏洞,雖然安卓4.2版本的原生系統已得到修復,但是由於相當數量的廠商開始定制系統,在修復瞭一些原生代碼漏洞的同時,導致短信欺詐漏洞再次作為新漏洞被引入。即廠商的定制系統可能帶來比原生系統更多的漏洞。
而接下來大會現場展示的的一組研究數據,令人對定制手機系統給的安全感到擔憂。當前一款主流定制手機被預裝應用及插件數量最多達到190款,手機的定制程度高達70%;同時在內置應用中80%擁有過度申請權限;由廠商定制引起的漏洞占到全部漏洞的70%。研究結果還發現,漏洞次數出現最多的為HTC、三星,最少的為Google、索尼。蔣旭憲在大會上號召,安卓手機安全需要生態鏈各方的共同維護。
Orignal From: Chrome爆安全漏洞 本地保存上網數據
留言列表
