智能手機(jī)的這兩大漏洞讓90%用戶陷入危險(xiǎn)
責(zé)編:admin |2014-08-02 16:27:288月1日,據(jù)路透社報(bào)道,安全研究人員警告稱,當(dāng)前智能手機(jī)存在兩大管理漏洞,可能讓世界20億用戶中90%的人陷入危險(xiǎn)中,包括密碼、數(shù)據(jù)被偷,手機(jī)完全被黑客控制等。
丹佛網(wǎng)絡(luò)安全公司Accuvant的手機(jī)研究人員馬修·索爾尼克(Mathew Solnik)說(shuō),一個(gè)漏洞是蘋(píng)果、谷歌Android以及黑莓等智能手機(jī)制造商執(zhí)行模糊的行業(yè)標(biāo)準(zhǔn),試圖控制和管理一切,從網(wǎng)絡(luò)連接到用戶身份等。這個(gè)漏洞可令黑客遠(yuǎn)程控制手機(jī)設(shè)備,安裝惡意軟件、訪問(wèn)數(shù)據(jù)、運(yùn)行智能手機(jī)上的應(yīng)用等。
另一個(gè)漏洞是舊金山安全公司Bluebox的研究人員發(fā)現(xiàn)的,專門對(duì)運(yùn)行Android老版軟件的3/4智能手機(jī)產(chǎn)生威脅。 這個(gè)漏洞被稱為“Fake ID”,允許惡意應(yīng)用程序瞞騙Android手機(jī)上Adobe、谷歌以及其他公司的信任軟件,用戶卻不會(huì)得到任何通知。Bluebox宣稱:“基本上,Android上任何依賴驗(yàn)證簽名鏈的應(yīng)用程序都會(huì)受到這一漏洞的影響。”
目前,路透社還未能獨(dú)立驗(yàn)證智能手機(jī)的這兩大漏洞。索爾尼克強(qiáng)調(diào)稱,對(duì)于普通用戶來(lái)說(shuō),Accuvant確認(rèn)的智能手機(jī)管理軟件漏洞威脅還不太迫切。全世界只有少數(shù)移動(dòng)通信專家能夠復(fù)制這一技術(shù)。但是公布這些威脅后,他的公司希望能避免其成為全球范圍威脅。
在過(guò)去幾年中,全球移動(dòng)行業(yè)中發(fā)現(xiàn)的漏洞越來(lái)越多,智能手機(jī)行業(yè)都在爭(zhēng)相對(duì)此做出回應(yīng)。但蘋(píng)果發(fā)言人拒絕發(fā)表評(píng)論。黑莓稱其已經(jīng)了解Accuvant公司的發(fā)現(xiàn),正欲獲得更多細(xì)節(jié)。而谷歌發(fā)言人稱得知Bluebox公司發(fā)出的通告后,他們已經(jīng)迅速向Android手機(jī)制造商發(fā)出補(bǔ)丁。
總體來(lái)說(shuō),Android的開(kāi)放式軟件開(kāi)發(fā)過(guò)程鼓勵(lì)個(gè)人和安全公司報(bào)告存在的安全問(wèn)題,允許該公司向制造商發(fā)送補(bǔ)丁,對(duì)手機(jī)漏洞進(jìn)行彌補(bǔ)。谷歌稱,他們已經(jīng)掃描了Google Play上的所有應(yīng)用、Android應(yīng)用,但沒(méi)有發(fā)現(xiàn)可威脅到用戶的危險(xiǎn)。
市場(chǎng)研究公司IDC的安全服務(wù)分析師克里斯蒂娜·里奇蒙德(Christina Richmond)說(shuō),發(fā)現(xiàn)這些漏洞很重要,因?yàn)槭謾C(jī)行業(yè)可以在其被壞人利用前加以修復(fù)。里奇蒙德說(shuō):“對(duì)于全世界數(shù)十億智能手機(jī)用戶來(lái)說(shuō),這些安全威脅已經(jīng)成為每天要面對(duì)的挑戰(zhàn)。用戶們需要了解不升級(jí)手機(jī)軟件的危險(xiǎn)。”
此前,移動(dòng)設(shè)備研究公司Strategy Analytics公布了一份市場(chǎng)份額統(tǒng)計(jì)報(bào)告,顯示第二季度中,Android手機(jī)依然占據(jù)全球智能手機(jī)出貨量的85%。而其主要對(duì)手蘋(píng)果iOS、微軟以及黑莓市場(chǎng)份額都在下降。安全研究人員稱,Android的快速增長(zhǎng)和市場(chǎng)份額主導(dǎo)地位存在致命缺陷。
直到去年年底,Android各款手機(jī)差異很大,若非開(kāi)發(fā)者能夠?qū)Ξa(chǎn)品每款軟件升級(jí),意味著Android大部分安全功能無(wú)法更新。Android手機(jī)的“Fake ID”漏洞可回溯到2010年1月份Android 2.1版本軟件發(fā)布時(shí),可影響所有沒(méi)有谷歌補(bǔ)丁的所有設(shè)備。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧