高通公司代碼漏洞導(dǎo)致安卓易受黑客攻擊

發(fā)布: 2016-05-06 21:04 | 作者: 李正豪 | 來源: cnBeta | 字體:       

相關(guān)專題: 芯片

谷歌合作伙伴已經(jīng)在Android的代碼庫當(dāng)中發(fā)現(xiàn)了一個可怕且影響深遠的安全漏洞。這個安全漏洞由芯片制造商高通引發(fā),高通為了推廣其芯片新的網(wǎng)絡(luò)功能,在不經(jīng)意間創(chuàng)造了黑客獲得訪問用戶私人數(shù)據(jù)的方式,可能會影響到成千上萬乃至數(shù)百萬的Android設(shè)備。

需要明確的是,這個安全漏洞僅影響高通的芯片和那些使用來自高通特定代碼的APP。高通在2011年推出為Android的network_manager系統(tǒng)服務(wù)推出新的的API,即現(xiàn)在的NETD進程,該API允許Radio用戶,即依賴于網(wǎng)絡(luò)功能的系統(tǒng)帳戶,訪問通常無法訪問的數(shù)據(jù),其中包括能夠查看用戶的短信或電話的通話記錄。

高通公司代碼漏洞導(dǎo)致安卓易受黑客攻擊

惡意應(yīng)用程序只需要使用官方AndroidAPI,即可使用這個漏洞。此外,由于API是官方的,它不會那么容易被自動化的反惡意軟件工具檢測。即使此漏洞發(fā)現(xiàn)者FireEye,也無法使用他們的工具檢測到使用此漏洞的惡意軟件。用戶只需上當(dāng)下載一個看似無害的應(yīng)用程序,然后批準(zhǔn)它使用網(wǎng)絡(luò),即可成為受害者。

此漏洞的影響范圍也難以確定,這要歸功于Android的碎片化。在2011年此API發(fā)布之際,當(dāng)時的Android版本是2.3姜餅,該漏洞目前也存在于棒棒堂(5.0),奇巧(4.4)和果凍豆(4.3)當(dāng)中,并且版本越舊,Radio用戶受到的安全限制越少,即幾乎可以不受限制地獲取用戶數(shù)據(jù)。

高通目前已經(jīng)修補此漏洞,谷歌本身已發(fā)出關(guān)于它的安全公告-CVE-2016-2060?杀氖牵覀儾恢肋@些補丁何時推送到消費者手機,受到Android碎片化影響,舊設(shè)備可能永遠不會得到修復(fù)。


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號,免費領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費領(lǐng)取《中國移動:5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費領(lǐng)取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費領(lǐng)取《中國移動算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
    		•

      最熱通信招聘

      最新招聘信息