定制手机含多个安全漏洞
日前,在中国互联网安全大会移动安全分论坛上,360首席科学家、北莱罗纳州大学蒋旭宪教授表示,当前主流定制手机中,平均每款含有20个漏洞,黑客可以借助这些漏洞伪造欺诈短信,并窃取手机用户隐私,而目前,约有70%的Android手机漏洞是由厂商定制引起。
蒋旭宪介绍,他与其360移动研究人员对当前国内外9个主流安卓手机厂商,包括三星S4在内共20多款主流手机进行测试研究,结果发现,这些参测手机无一幸免全部含有漏洞,而且每款手机漏洞数量惊人。
研究发现,这些漏洞的主要类型为欺诈短信和签名漏洞,即欺诈漏洞一旦被黑客利用,可造成恶意程序伪造银行短信等欺诈行为,而签名漏洞更加可怕,使黑客可在不破坏数字签名的情况下篡改任意应用。大会上,蒋旭宪及其研究人员周亚金还针对黑客如何利用短信欺诈漏洞伪造银行短信进行了现场演示,并针对此案例进行了深入剖析。
会议中研究人员表示,针对短信欺诈漏洞,虽然安卓4.2版本的原生系统已得到修复,但是由于相当数量的厂商开始定制系统,在修复了一些原生代码漏洞的同时,导致短信欺诈漏洞再次作为新漏洞被引入。即厂商的定制系统可能带来比原生系统更多的漏洞。
而接下来大会现场展示的的一组研究数据,令人对定制手机系统给的安全感到担忧。当前一款主流定制手机被预装应用及插件数量最多达到190款,手机的定制程度高达70%;同时在内置应用中80%拥有过度申请权限;由厂商定制引起的漏洞占到全部漏洞的70%。研究结果还发现,漏洞次数出现最多的为HTC、三星,最少的为Google、索尼。蒋旭宪在大会上号召,安卓手机安全需要生态链各方的共同维护。
Chrome爆安全漏洞
根据安全公司Identity Finder报道称Chrome浏览器的一个漏洞被发现能够存储用户不希望被记录的个人数据信息。根据报道称用户在使用Chrome浏览器访问安全网站的时候将会通过明码的方式存储用户个人信息,任何人都能轻松的读取相关内容。
这些数据细节都被保存在Chrome浏览器的缓存文件中,所以任何人只需要能够使用用户的电脑就能轻松的窃取相关的上网数据。目前尚不清楚这个漏洞何时就已经存在,不过在经过沟通之后Google官方表示已经意识到这个问题,并做出如下声明:
Chrome浏览器的安全系数非常高,用户能够自定义控制使用和储存自己的个人数据。Chrome在存储包括信用卡信息在内的敏感数据的时候都会向消费者发出提醒,绝对不会保存任何未经允许的数据。如果能够获得操作系统底层的支持我们未来将会把这些数据进行加密,比如说Chrome OS就能够加密所有的本地数据。
网友评论