新聞中心

EEPW首頁(yè) > 消費(fèi)電子 > 業(yè)界動(dòng)態(tài) > 高通API代碼惹的禍 百萬(wàn)安卓設(shè)備受威脅

高通API代碼惹的禍 百萬(wàn)安卓設(shè)備受威脅

作者: 時(shí)間:2016-05-09 來源:騰訊數(shù)碼 收藏
編者按:相比較iOS系統(tǒng),安卓系統(tǒng)的安全性一直都受到用戶的“吐槽”,它也被視為一種缺乏安全性的移動(dòng)平臺(tái),同時(shí)很多合作伙伴也會(huì)帶來更多的漏洞,這一次是高通,下一次是誰(shuí)呢?

  在某些情況下,原因歸結(jié)于向開發(fā)者和用戶提供的一種“開放性”,而有些漏洞則直接能夠在系統(tǒng)“核”中找到。這次,系統(tǒng)的漏洞則是由它的合作伙伴帶來的。在推出其新的網(wǎng)絡(luò)功能時(shí),也無意之中埋下了“禍根”,為黑客創(chuàng)造了一種獲取他人隱私數(shù)據(jù)的機(jī)會(huì),這個(gè)漏洞或許將影響到數(shù)數(shù)千、甚至百萬(wàn)安卓設(shè)備。

本文引用地址:http://butianyuan.cn/article/201605/290820.htm



  具體來講,這項(xiàng)安全漏洞僅僅能夠影響到芯片以及使用來自高通編碼的應(yīng)用軟件。 在2011年,作為其安卓網(wǎng)絡(luò)-管理系統(tǒng)服務(wù)的一部分,這家芯片制造商推出了其新的API。而新的API允許“Radio”用戶,也就是與網(wǎng)絡(luò)功能綁定的系統(tǒng)賬戶訪問通常無法訪問的數(shù)據(jù),比如瀏覽用戶的短信或者手機(jī)通話記錄。

  惡意應(yīng)用軟件只需使用官方安卓API就能利用此漏洞。更為嚴(yán)重的是,由于是官方API,因此就不會(huì)很容易地被自動(dòng)反惡意軟件工具所識(shí)別。即便是這項(xiàng)漏洞的發(fā)現(xiàn)者FireEye在剛開始也無法使用他們工具識(shí)別出此漏洞。用戶只要一下載看似安全,但需要獲得網(wǎng)絡(luò)使用許可的應(yīng)用軟件,就會(huì)自動(dòng)成為潛在受害者。

  再加上安卓系統(tǒng)“碎片化”特點(diǎn),這也使得這項(xiàng)漏洞變得更加難以被識(shí)別。在2011年高通發(fā)布API之時(shí),當(dāng)時(shí)的安卓系統(tǒng)版本還是Gingerbread (2.3). 目前該漏洞已經(jīng)存在于Lollipop (5.0), KitKat (4.4)和 Jelly Bean (4.3)系統(tǒng)中。并且,版本越低,對(duì)此漏洞的抵抗力就低,“Radio”用戶就更容易獲取隱私數(shù)據(jù)。

  好消息是,目前還沒有出現(xiàn)跟此漏洞相關(guān)的受害者。不過,F(xiàn)ireEye承認(rèn),一旦這項(xiàng)漏洞被黑客所利用,后果不堪設(shè)想。高通目前已經(jīng)修補(bǔ)此漏洞,谷歌也針對(duì)此漏洞發(fā)布了名為“CVE-2016-2060漏洞”安全公告。壞消息是,目前還不知道谷歌何時(shí)、甚至是否會(huì)將修復(fù)補(bǔ)丁推送給消費(fèi)者。



關(guān)鍵詞: 高通 安卓

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉