Android 上的漏洞对普通用户有何影响,如何防范
首先,他们给这个漏洞取名叫寄生兽实在是……简单来说这其实是一个静态代码注入的漏洞,关键点在于安卓系统源码中对odex缓存文件的校验薄弱,可被绕过,从而实现恶意代码注入。那么这个漏洞的首要触发条件就是攻击者要能覆盖目标app的在文件系统中的odex,而每个app的odex都是在其私有目录里面,受沙盒机制保护。攻击者要利用这个漏洞就先得突破沙盒机制,而如果攻击者都已经有这样的权限了,其实能做的事情非常多,这个漏洞只是其中一种。
360列出了4种可能的攻击场景来突破沙盒机制。首先是三星自带的输入法的远程命令执行漏洞,这个漏洞要利用得劫持网络做中间人攻击,其实是比较局限的,不谈需要在应用插件更新时劫持网络,首先你得有一台三星……然后360列出了真实环境中的3种场景。第一种是解压目录遍历,这个其实是app开发者没有安全调用安卓原生api导致的漏洞,可让攻击者在解压时以目标app的权限覆盖到odex。第二种是备份的漏洞,这种漏洞也是由于安卓开发者没有安全配置清单文件导致的,可利用修改备份然后恢复的方式覆盖odex。以上两种方法都不需要root权限,这明明就是开发者的锅!就这两种场景而言,这个漏洞是有一定影响面的,跟webview那个由来已久的远程代码执行漏洞一样,是安卓本身安全缺陷导致的,但开发者自己应该作出应对。以后大家做安全审计时可以注意一下上面两种场景现在有新的注入手段了。第三种攻击场景是危言耸听,基本可以无视,要求攻击者具有root权限,你都有root权限了为什么不考虑动态注入呢,目前很多app的动态注入防护是很弱的,实际上大多数根本没有。
最后表达一下我一直以来的观点,不要动不动就把锅推到用户身上,root手机带来的安全隐患真的没有想象的那么大。为用户减少安全风险是每个敬业的安全工程师的职责,如果你所谓的安全是放弃功能,那大家还不如换回小灵通,这完全就是没有责任感的表现。
360列出了4种可能的攻击场景来突破沙盒机制。首先是三星自带的输入法的远程命令执行漏洞,这个漏洞要利用得劫持网络做中间人攻击,其实是比较局限的,不谈需要在应用插件更新时劫持网络,首先你得有一台三星……然后360列出了真实环境中的3种场景。第一种是解压目录遍历,这个其实是app开发者没有安全调用安卓原生api导致的漏洞,可让攻击者在解压时以目标app的权限覆盖到odex。第二种是备份的漏洞,这种漏洞也是由于安卓开发者没有安全配置清单文件导致的,可利用修改备份然后恢复的方式覆盖odex。以上两种方法都不需要root权限,这明明就是开发者的锅!就这两种场景而言,这个漏洞是有一定影响面的,跟webview那个由来已久的远程代码执行漏洞一样,是安卓本身安全缺陷导致的,但开发者自己应该作出应对。以后大家做安全审计时可以注意一下上面两种场景现在有新的注入手段了。第三种攻击场景是危言耸听,基本可以无视,要求攻击者具有root权限,你都有root权限了为什么不考虑动态注入呢,目前很多app的动态注入防护是很弱的,实际上大多数根本没有。
最后表达一下我一直以来的观点,不要动不动就把锅推到用户身上,root手机带来的安全隐患真的没有想象的那么大。为用户减少安全风险是每个敬业的安全工程师的职责,如果你所谓的安全是放弃功能,那大家还不如换回小灵通,这完全就是没有责任感的表现。
佚名
2024-06-16 09:01:22
类似问题(10)
-
佚名2024-06-16 07:01:24
问命宫胎元对八字有何影响?作用大不?
答胎元和四柱是为一体的,李虚中命书以胎月日时而论,年柱为命,民国书籍以子平法论,胎元可以补八字的不足,比如清代翁同龢的八字,胎元的作用很大,补八字之不足。命宫作用...
-
佚名2024-06-16 08:00:00
问如何开发Android Wear应用程序
答谷歌提供了特定的api来开发android wear,可以参考如下内容:开始使用Android Wear时,你所需要做的是以下几方面:1. 安卓4.3设备;2....
-
佚名2024-06-16 08:00:00
问普通用户可以和TA用户一对一聊天吗?
答可 以 的 , 你 可 以 给 他 评 论 , 他 会 给 你 回 复 , 就 跟 聊 天 差 不 多 的
-
佚名2024-06-16 08:00:00
问分户供暖改造如何实施 能给用户带来哪些影响
答1、分户供暖改造实施时,应先施工住户户外的公用管道,先把主立管做好后,在分户安装室内管线。分户施工前要与物业公司密切配合,与物业公司联合提前发布公告,告知施工的...
-
佚名2024-06-16 08:00:00
问进户门正对着窗户对家里风水有何影响?
答这个叫做直冲,一般家居风水讲究藏气,正对窗户的话就表示藏不住气,财气一进门就朝着窗户吹出去了。
-
佚名2024-06-16 08:00:00
问如何把普普通通的东西说的高大上
答我姐在英国带回来的
-
佚名2024-06-16 08:00:00
问卫生间地面有裂纹,如何堵漏防渗
答混凝土有裂缝正常,你就是正常做防水再贴砖就好了,防水做时注意细节部位处理,铺砖时,放够了水泥,知道防水的道理,想漏水都难,不做工程,更多信息,更好建议,免费提供...
-
佚名2024-06-16 08:00:00
问如何给普通的水杯上刻字
答可以用了字机困觉了我啦哈伦裤
-
佚名2024-06-16 08:00:00
问股东用公司名义贷款还不上对法人有何影响
答当然有问题了,因为是以公司名,而公司不能还款的话,法人将会被锁定为失 信。
-
佚名2024-06-16 08:00:00
问Android 上的漏洞对普通用户有何影响,如何防范
答一般是没有影响的 一些人会利用安卓的开源来对手机完成影响 每个系统都会有漏洞 所以安卓不断的再升级 至于防范 不点未知链接 下载软件方面尽量下载知名软件 这样广...
风水
起名
网名
- 1 带祺字网名
- 2 带有幸福两个写的网名
- 3 跟月亮有关的微信网名
- 4 四字个性唯美网名男生网名
- 5 名字带美的网名大全
- 6 关于绿色的复古网名
- 7 吃鸡军团昵称大全
- 8 昵称女生大全很长
- 9 男人突然给你取昵称
- 10 冯提莫粉丝昵称是什么
说说
- 1 关于垮年的个性签名
- 2 经典语录的说说
- 3 qq爱情说说大全幸福
- 4 我这样都低为了什么 说说
- 5 很上班很困的说说
- 6 心里放着一个人说说
- 7 给男朋友怀抱的说说
- 8 用微笑掩饰自己qq说说
- 9 也许久了就淡了的说说
- 10 中秋节上班的幽默搞笑说说发朋友圈