75%安卓设备受威胁,都是高通API代码惹的祸 ?

近日,美国网络安全公司FireEye披露了一个严重的信息泄露漏洞,该漏洞是由移动芯片巨头高通公司引入到 Android系统中的。

关于高通

高通 (Qualcomm)是一家美国的无线电通信技术研发公司,成立于1985年7月,在以技术创新推动无线通讯向前发展方面扮演着重要的角色。

除此之外,该公司还在CDMA技术方面处于领先地位而闻名,而LTE技术已成为世界上发展最快的无线技术。高通十分重视研究和开发,并已经向100多位制造商提供技术 使用授权,基本上涉及了世界上所有电信设备和消费电子设备的品牌。

漏洞CVE-2016-2060

FireEye的安全研究人员称,过去五年,很多Android手机都存在一个漏洞,会导致用户的短信、电话记录和其它私人敏感数据被窥探。

而这个漏洞最早可以追溯到Androidv4.3及早期版本。除此之外,如果安卓操作系统的版本越旧,那么设备遭受攻击的可能性也就越大。

如果设备运行的安卓操作系统为SE Android,由于这一系统采用了增强型的安全加密措施,所以这些设备受攻击的可能性相对来说是比较小的。

漏洞编号为CVE-2016-2060,是移动芯片巨头高通公司引入到Android系统中的,它为系统服务network_manager(netd)释出了一组编程接口。

安全研究人员在今年的一月份将此漏洞的相关信息秘密提交给了高通公司,高通公司随后便着手处理这一问题,并承诺在九十天的漏洞修复期内修复这个问题。

安全研究人员认为,这个漏洞之所以会存在,是因为安卓操作系统中Netd守护进程的接口参数没有对输入数据进行类型检测。

安全研究专家在安全公告中说到:

高通公司在向“network_manager”系统服务中添加新的应用程序编程接口时,意外引入了这一漏洞,导致‘netd’守护进程直接受到了这一漏洞的影响。据了解,高通公司已经对“netd”守护进程进行了修复处理。”

目前,安全研究人员仍然不能确定这一漏洞的影响范围。现在,大量的安卓设备都配备了高通芯片,而且或多或少地都会使用高通公司开发出来的软件,这些设备还包括目前最为流行的商用手机和平板电脑在内。

恶意应用程序只需要使用官方提供的安卓应用程序编程接口,即可利用这个漏洞来对目标设备进行攻击。

除此之外,由于API是由官方提供的,它不会那么容易就被自动化的反恶意软件工具所检测到。即使此漏洞发现者FireEye,也无法使用他们的工具检测到利用此漏洞的恶意软件。用户只需下载一个看似无害的应用程序,然后允许它访问网络,那么这名用户就会被攻击。

再加上安卓系统“碎片化”特点,这也使得这项漏洞变得更加难以被识别。在2011年高通发布API之时,当时的安卓系统版本还是Gingerbread (2.3). 目前该漏洞已经存在于Lollipop (5.0), KitKat(4.4)和 Jelly Bean (4.3)系统中。并且,版本越低,对此漏洞的抵抗力就低,“Radio”用户就更容易获取隐私数据。

安全研究人员表示,在旧款的安卓设备中,恶意应用程序不尽可以从手机的短信数据库中提取出用户的短信,而且还可以从通话数据库中提取出用户的通话记录。而且在手机联网之后,攻击者还可以进行其他一系列的非法操作。

相比之下,新款设备受此漏洞影响的可能性就比较小了,但是恶意应用程序仍然可以修改新款设备中的某些系统属性。

不过,好消息是,目前还没有出现跟此漏洞相关的受害者。不过,FireEye承认,一旦这项漏洞被黑客所利用,后果不堪设想。高通目前已经修补此漏洞,谷歌也针对此漏洞发布了名为“CVE-2016-2060漏洞”安全公告。坏消息是:目前还不知道谷歌何时、甚至是否会将修复补丁推送给消费者

*原文链接:securityaffairs ,FB 小编米雪儿编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-05-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

混合云环境中的数据保护

1605
来自专栏Guangdong Qi

iOS审核拒绝苹果官方原因详解

8632
来自专栏腾讯大讲堂的专栏

解密Midas、Webank、金融云背后的核心数据库TDSQL【海量服务之道2.0】

如果,你在寻找一款数据库,希望: •在任何情况下,数据都不丢失或错乱; •能7*24小时不间断的对外提供服务,即使故障也不会中断; •能支撑业务量10倍以上的弹...

3109
来自专栏互联网高可用架构

统一支付系统“Fastpay快付”集结号Fastpay

1.8K3
来自专栏华章科技

微软打脸,Windows 7 再次成为微软的头号桌面操作系统

导读:近日,微软裁撤Windows部门,对公司进行大规模重组。此外,微软官方表示 Windows 10 用户一直在增长,该公司的统计数据显示,该操作系统在 2 ...

962
来自专栏phodal

智能音箱 天猫精灵 X1 + Broadlink 打造智能家居摇控

在我们尝试了一系列 Amazon Echo 一类的国外智能音箱之后,本篇将为你带来中文版的智能音箱教程。本文将介绍如何连接天猫精灵 X1 以及 Broadlin...

5369
来自专栏葡萄城控件技术团队

如何用活字格定制监狱管理系统

监狱是国家司法机关的重要组成部分,监狱管理的信息化对整个监区罪犯管理、执法管理、监控管理等核心功能具有非常高的要求。通过活字格Web应用平台定制的监狱管理系统,...

1332
来自专栏黑白安全

将“窃取隐私的贼”扼杀在襁褓中

导读:互联网时代,运筹帷幄之中,决胜千里之外不再是奇人所为,大数据的发展更让我们觉得,世界都在关注我。想你之所想,急你之所急,精准的营销和推荐让我们享受着主人公...

844
来自专栏FreeBuf

这可能是史上最大规模Google Play恶意程序活动

近期,Check Point的安全研究专家在Google自家的官方App商城Google Play中发现了一种大规模恶意软件活动。这款恶意软件名叫“Judy”,...

3476
来自专栏云计算D1net

企业使用云服务器能带来哪些好处?

云计算的到来给整个IT界注入了新的活力,不仅软件、硬件、解决方案供应商通过各种方式支持云计算,IaaS、PaaS、SaaS各服务商也推出了或改进或创新的众多服务...

4128

扫码关注云+社区

领取腾讯云代金券