示意图,与新闻事件无关。
行动资安业者Kryptowire在上周于拉斯维加斯(Las△Vegas)展开的DEFCON骇客大会上揭露,有25款Android手机在出厂时的韧体或预设程式就含有安全漏洞,在这些装置上总计找到大大小小的35个漏洞,有些轻微的漏洞只会造成装置当掉,严重的漏洞则会让骇客取得装置的最高权限。
当初Kryptowire主要锁定由6家美国电信营运商负责销售的高、低阶Android手机进行分析,以探索这些手机在出售给消费者时所预载的程式或韧体的安全性,但事实上该研究结果影响了全球的装置,这些漏洞全都超出了Android平台既有的许可,包括执行任意程式、取得数据机与程序(logcat)日志、移除装置上的使用者资料、读取或变更装置用户简讯、传送任意简讯,或是取得装置通讯录等。
Kryptowire表示,现身于韧体或预载程式上的漏洞意谓着消费者在安装其它程式或进行无线通讯之前就已曝露在安全风险中,更严重的是,针对韧体的攻击程式得以绕过Android上的各种防御机制,不论是行动威胁侦测、防毒软件或其它技术,因为这些安全程式无法侦测应用程序层背后的漏洞,因而无法抵抗韧体攻击。
例如中兴的ZMAX△Pro允许骇客取得装置用户的所有简讯,甚至是插入、变更或删除简讯,而ZMAX△Champ所预载的某个程式允许装置上任一程式通过回复出厂设置移除装置上的所有资料;Vivo的V7所预载的程式则能在未取得使用者授权之下擅自记录荧幕画面;Oppo的F5可悄悄录音并存至SD卡,还能执行命令;LG的G6能够锁住用户、取得logcat与核心纪录;Asus的ZenFone△3 Max内建的程式则能获得各种错误报告、装置资讯或Wi-Fi密码,还能拍下荧幕画面或执行命令。
Kryptowire向Wired解释,这主要因为供应链中的成员想要进行订制化、添增自己的程式或程式码,却同时扩大了攻击表面,并提高软件出错的可能性。
此一研究是由美国国土安全部(DHS)所支持,Kryptowire已于官网列出了所有手机型号与相关漏洞。
I 相关 / Other
【Black Hat 18】:小心mPOS读卡机内含安全漏洞,窜改消费金额让你荷包大失血
示意图,与新闻事件无关。 企业安全解决方案供应商Positive△Technologies在上周举行的黑帽(Black△Hat)骇客大会上指出,行动收银机(mobile△point-of-sale,mPOS)装置含有众多漏洞,将允许不良商家窜改荧幕上
捷报!韩国队再度夺冠,台湾HITCON战队获得DEF CON CTF第三名成绩!
图片来源: 黄彦棻摄 [美国拉斯维加斯现场直击]经历过激烈的竞赛后,2018年由全新主办单位O.O.O.(Order-of-the-Overflow)的骇客抢旗攻防赛(CTF)的名字终于揭晓,由韩国队DEFKOROOT获得冠军,美国队PPP获得第二名,
否认 5G 授权费为手机售价 4% 华为:费用过高不合理 | 香港 UNWIRE.HK 玩生活.乐科技
通讯设备将会陆续迈向 5G,不过要生产 5G 设备,就必须要使用到 Qualcomm、华为和 Ericsson 三家 5G 专利主要持有人的技术。之前有传闻指华为会向每部手机收取机价 4% 的专利费用,但华为否认有这收费计划,表示任何
【有片睇】台湾爷爷带11部手机骑单车 疯玩Pokemon Go每月课金过万 | 香港 UNWIRE.HK 玩生活.乐科技
手机游戏 Pokemon Go 在全球引起热潮,虽然现在粉丝们热情有点冷却,但台湾就有一位超级 Pokemon Go 拥躉,在单车上安装 11 部智能手机,到现在热衷于寻找 Pokemon,据称直到现在,每月课金金额仍达到上万元港币!这
研究指四间 Android 手机厂商韧体存在安全漏洞 | 香港 UNWIRE.HK 玩生活.乐科技
手机系统随着安装的应用程序变多,安全漏洞也可能会增加,不过如果是系统本身存在漏洞,则是更严重的问题。最近一个研究机构表示,有几个 Android 手机厂商的韧体存在漏洞,有机会被骇客利用攻击。保安研究机构 Kryp