MWR實驗室公布Android系統(tǒng)0day漏洞 可繞過沙箱
責(zé)編:penggao |2015-08-17 11:07:27谷歌真是風(fēng)波不斷——近期,MWR實驗室的研究人員又發(fā)現(xiàn)一個0day漏洞。這個漏洞存在于安卓系統(tǒng)中Google Admin應(yīng)用程序處理一些URL的方式中,攻擊者甚至可以通過這個漏洞繞過沙箱機制。MWR實驗室在報告中提到了該漏洞原理:當(dāng)Google Admin應(yīng)用程序接收到一個URL,并且該URL是通過同一設(shè)備上任何其他應(yīng)用的IPC調(diào)用接收時,Admin程序會將這個URL加載到它活動內(nèi)的 Webview中。這時若攻擊者使用一個file:// URL鏈接到他們所控制的文件,那么就可以使用符號鏈接繞過同源策略,并接收到Admin沙箱中的數(shù)據(jù)。
據(jù)悉,MWR實驗室在今年3月就向谷歌報告了這個漏洞,谷歌則很快反饋說他們將在6月份發(fā)布針對該漏洞的補丁,然而直到現(xiàn)在這個補丁也未見蹤影。于是在上周,MWR實驗室通知谷歌表示他們“忍無可忍無須再忍”,并最終在周四公開了這份報告。
0day漏洞-可繞過沙箱.png)
高冷的谷歌依舊并沒有對此事發(fā)表評論。
對安全漏洞愛答不理,看來谷歌真是全心修煉起名大法了?
對此,MWR實驗室建議那些帶有Google Admin應(yīng)用的手機用戶:不要安裝不可信的第三方APP。
自從今年6月谷歌推出了“安卓安全獎勵”計劃之后,各家似乎對谷歌的找漏熱情更上一層樓。尤其是最近一個月以來,谷歌的安全技術(shù)團隊估計早就忘了什么叫風(fēng)平浪靜的日子。不知道MWR實驗室這次拿不拿得到獎勵呢,因為按照谷歌的規(guī)定,漏洞在被告知谷歌以前便公之于眾,就無法獲得獎金嘍。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧