Google Android 合作夥伴漏洞計劃(APVI)網站上有一個關於影響數百萬 Android 裝置安全漏洞的新帖子。黑客能夠通過該漏洞在諸多 Android 系統 OEM 廠商手機中植入惡意軟件並且同時獲取系統最高權限。


Google 員工和惡意軟件逆向工程師盧卡茲・塞維爾斯基(Łukasz Siewierski)最先發現該漏洞的關鍵是平台證書的問題,他表示裝置上 Android 版本的合法性取決於這些證書或簽名密鑰。供應商也使用這些證書來簽署應用程式。

在用戶安裝每個應用程式時,Android 系統都會給用戶安裝的每個程式分配一個獨特的用戶 ID(UID),該應用程式簽署的密鑰同時可以共同享有該 UID,對數據進行訪問。與操作系統本身使用相同證書簽署的應用程式也擁有一樣的特權。

而問題的關鍵是,有些 OEM 廠商的 Android 平台證書洩露給了「心術不正」的人。惡意應用程式通過簽署這些洩露的證書,在不用通過用戶的確認的情況下直接擁有與 Android 系統一樣的權力,並且可以直接讀取用戶的全部數據。

_______

Qooah 現已登陸 MeWe,立即 Follow:https://mewe.com/p/qooah

更多平台立即 Follow:Qooah IG (@qooah)Qooah YouTube,八掛產品發佈會現場,睇盡靚靚 Show Girls