高通QSEE漏洞影响六成采用了该公司安全平台的Android设备

2016年05月20日 09:17 次阅读 稿源:cnBeta.COM 条评论

Google在今年1月的Nexus安全公告中修复了名为CVE-2015-6639Android设备的信任区(TrustZone)提权漏洞,其影响到六成采用了高通安全平台的Android设备。四个月后,一名安全人员解释了这个“高通安全执行环境”(QSEE)漏洞是如何被用来攻破Android设备的。Android TrustZone是系统内核中的一个独立于内核中其它部分工作的特殊部分,负责处理最重要和敏感的操作(比如数据加密)。

访问:

阿里云6·18主会场 | 天猫6·18 超级红包主会场

京东6·18“京享红包” 最大面额18618元

安全研究人员Gal Beniamini在高通定制实现的TrustZone内核中发现了该漏洞,其被用于搭载了高通芯片的Android智能机上。

Beniamini表示,其本身是“无害”的,但如果攻击者将它与另一个漏洞(CVE-2015-6639)“串联”起来,就可以提取到高通TrustZone的权限。

在这之后,任何Android媒体服务组件都可以被它所利用。(所幸的是,Google已在Android N中拆分了mediaserver,以消除Stagefright高危漏洞的影响)

攻击者只需精心打造一个包含了上述俩漏洞的应用,然后诱骗用户去安装它。得逞之后,即可完全控制受害设备。

根据移动安全企业Duo从50万Android手机上收集到的遥测数据,当前采用了高通芯片的Android设备占到了六成,它们运行着受影响的Android版本。

即使Google已经发布了安全补丁,设备也可以通过升级系统版本的方式完全避免,但漏洞的影响仍可能持续很长一段时间。

Google在今年1月时写到:“因其可永久攻破本地设备,该问题被标记为‘高危’(Critical)。换言之,受影响的设备要重刷操作系统才能修复”。

为确保安全,我们在此建议大家积极采用反病毒解决方案,或仅安装声誉较高、可信赖的应用程序。

[编译自:Soft Pedia]

对文章打分

高通QSEE漏洞影响六成采用了该公司安全平台的Android设备

1 (33%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    热门评论

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan