另一天,另一個Android安全錯誤。
安全研究人員在Android中發現了一個張開的安全漏洞,使用戶極易受到攻擊者遠程劫持其設備並在一次攻擊中執行任意代碼的攻擊。
Quihoo 360研究員廣振在東京的PACSEC會議上展示了他在Mobilepwn2own的剝削。鑼並未透露剝削的細節,以防止惡意人利用信息。但是,他確實說過,漏洞利用目標是JavaScript V8引擎,用戶可以通過打開與惡意網站的鏈接來輕鬆地成為攻擊者的獵物。
演示揭示了Google自己的Nexus 6與Android 6.0 Marshmallow和Project FI跑步非常容易受到攻擊。他的演示顯示鑼成功地在Nexus 6上成功安裝了一個任意應用程序,特別是BMX自行車,而無需與設備進行物理相互作用。
“關於古的漏洞的令人印象深刻的事情是那是一槍。”說PACSEC組織者Dragos Ruiu對登記官的禿鷹南方交談。 “如今,大多數人都必須利用幾個漏洞來獲得特權訪問和加載軟件而無需交互。”
由於利用利用了JavaScript引擎,Ruiu表示可以很容易地對其進行重新編碼以與地球上的每個Android設備用於使用。
Ruiu說:“最近版本的Chrome中使用的漏洞應該適用於所有Android手機。” “我們正在專門檢查他的漏洞利用,但是您可以針對任何Android目標進行重新編碼,因為他擊中了JavaScript引擎。”
出席會議的一名Google安全工程師收到了將其帶回山景的漏洞,以進行進一步的測試,並希望能迅速修補該洞。預計鑼還可以通過Google的Bug Bounty程序獲得可觀的美元匯款,以發現該錯誤。 Ruiu還將在2016年3月將鑼飛往溫哥華的Cansecwest Security。
這不是安全研究人員第一次在Android中發現巨大的可怕蟲子。最近幾個月發現了許多漏洞,但其中最大的是StagefrightBug,它使攻擊者僅通過發送消息來控制設備。
Google已通過承諾發布的消息對Android安全錯誤不斷湧入的消息做出了回應每月安全補丁。不幸的是,這些常規更新僅適用於其Nexus設備系列。大多數Android設備仍然很容易受到傷害。
照片:Claudia Rahanmetan | Flickr
