压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

擁有20多億用戶的安卓系統(tǒng)需要守護(hù)的設(shè)備太多了。但一個(gè)存在了5年之久的高危漏洞提醒人們：安卓令人驚嘆的開(kāi)源代碼覆蓋面也給去中心化生態(tài)系統(tǒng)防護(hù)帶來(lái)了挑戰(zhàn)。

該漏洞由威脅檢測(cè)公司 Positive Technologies 移動(dòng)安全研究員 Sergey Toshin 發(fā)現(xiàn)，源于 Chrome 和很多其他瀏覽器的支撐開(kāi)源項(xiàng)目 Chromium。因此，攻擊目標(biāo)不僅僅是移動(dòng) Chrome，基于 Chromium 的其他流行移動(dòng)瀏覽器都在打擊范圍內(nèi)。更具體講，凡是帶有 WebView功能的安卓機(jī)都受到Chromium的支持，用戶點(diǎn)擊游戲或社交網(wǎng)絡(luò)中的鏈接時(shí)，WebView 功能可在某種迷你瀏覽器中加載這些網(wǎng)頁(yè)，讓用戶無(wú)需離開(kāi)原應(yīng)用。利用 Chromium 漏洞，黑客可以用 WebView 劫掠用戶數(shù)據(jù)并取得廣泛的設(shè)備訪問(wèn)權(quán)。

攻擊者可對(duì)安卓設(shè)備上的任意Chromium系手機(jī)瀏覽器發(fā)起襲擊，包括谷歌Chrome、三星Internet瀏覽器和Yandex瀏覽器，從其WebView中抽取數(shù)據(jù)。

更糟的是，自2013年的 4.4 KitKat 起，后續(xù)所有安卓版本都含有該漏洞。4.4 KitKat 是首個(gè)可以監(jiān)聽(tīng)“Ok Google”和在谷歌鍵盤(pán)上納入表情符號(hào)的安卓版本，情況真的很嚴(yán)重。

絕大多數(shù)情況下，幾乎不可能檢測(cè)出來(lái)。

通過(guò)誘騙用戶安裝含有WebView的惡意軟件并利用該漏洞，攻擊者可獲得對(duì)受害者設(shè)備最可靠、最持久的訪問(wèn)。但Toshin指出，攻擊者還能利用該漏洞獲得一些不恰當(dāng)?shù)脑O(shè)備訪問(wèn)權(quán)限，方法就是誘使用戶點(diǎn)擊通過(guò)安卓即時(shí)應(yīng)用( Instant App )功能打開(kāi)的惡意鏈接。即時(shí)應(yīng)用功能使用戶無(wú)需實(shí)際安裝就能立即執(zhí)行某應(yīng)用。這種情況下，攻擊者不會(huì)擁有持久訪問(wèn)權(quán)，但能獲得有限的時(shí)間窗口來(lái)捕獲用戶數(shù)據(jù)或其移動(dòng)賬戶信息。無(wú)論如何，這些攻擊方法都悄無(wú)聲息，毫不引人注目。

今年1月時(shí)，Positive Technologies 就將漏洞情況通報(bào)給了谷歌，當(dāng)月末，谷歌就在 Chrome 72 中修復(fù)了該漏洞。運(yùn)行安卓7及其后續(xù)版本的設(shè)備應(yīng)可經(jīng)由通用Chrome更新獲得修復(fù)，但運(yùn)行安卓5和6的設(shè)備就得通過(guò)Google Play安裝WebView的特別更新了。開(kāi)啟了自動(dòng)更新的安卓用戶無(wú)需多費(fèi)心神。若未開(kāi)啟，就只有自行安裝了。

Toshin和谷歌都表示，沒(méi)有內(nèi)置 Google Play 的安卓設(shè)備，比如亞馬遜Kindle，需要設(shè)備制造商發(fā)布專用補(bǔ)丁。這正是安卓繽紛多彩的生態(tài)系統(tǒng)給設(shè)備修復(fù)帶來(lái)的特殊麻煩。

谷歌還指出，因?yàn)榘沧?.4發(fā)布已經(jīng)超過(guò)5年，且只運(yùn)行在一小部分設(shè)備上，該公司沒(méi)有為此版安卓發(fā)布補(bǔ)丁。但谷歌自己的數(shù)據(jù)表明，有7.6%的安卓設(shè)備還運(yùn)行的是KitKat。考慮到20億用戶的總量，7.6%就是1.52億，比當(dāng)前版本安卓 Oreo 8.1 的7.5%還多。

谷歌一直在提升其跨設(shè)備補(bǔ)丁推送的能力，最小化不同制造商實(shí)現(xiàn)導(dǎo)致的障礙。但這方面需要做的工作還很多。且因?yàn)榘沧繎?yīng)用面十分寬廣，世界各地?zé)o論貧富與產(chǎn)業(yè)差別都在用，現(xiàn)實(shí)就是老版本安卓仍將存在很長(zhǎng)時(shí)間。