Android惊现最严重漏洞木马随意盗取文件
Android惊现最严重漏洞 木马随意盗取文件驱动之家 作者:驱动之家2010年11月26日Android系统在智能手机和平板机市场迅速崛起的同时,安全问题也更加引人注目,近日一个涉及到全版本Android系统的恶意漏洞被公布,而这一漏洞很可能就是Google延迟发布Android 2.3版系统的原因。
信息安全研究人员Thomas Cannon今天将这一漏洞公布于世,借助这个新的漏洞,恶意攻击者可以在引诱用户打开恶意网页,手机内置的浏览器就会下载并执行一个Javascript木马,该木马可以获取SD卡上指定的文件。
Thomas Cannon在几天前已经通知了Google,Android开发团队在20分钟内做出了回应,并表示已经针对该漏洞展示工作,将会在即将公布的Android 2.3版操作系统中进行修复。
但是这样的修复并不能拯救全部的Android设备,因为在2.3版系统发布之后只有少量机型能获取更新,数以千万计的Android设备要么不能更新2.3版系统,要么运行有厂商制作的自定用户界面系统,威胁仍会存在。Google应该做的是针对不同版本系统推出单独的浏览器升级或者修复补丁,才能将恶意网页木马拒之门外。
以下为Thomas Cannon公布的漏洞详情:
在一天晚上对Android系统进行应用程序安全评估的时候,Thomas Cannon发现了一个全版本普遍存在的漏洞,恶意网站将可以获取任何SD卡上存储的文件。
该漏洞的存在有多种因素,具体的实施过程为:
- Android内置浏览器不提示用户静默下载一个文件,比如“payload.html”,改文件会自动下载到 /sdcard/download/payload.html目录
- 通过Javascript运行该文件,并在Android浏览器中显示这个本地文件,运行过程没有任何提示
- 成功打开时候,Javascript将可以阅读任何本地文件内容和其他数据
一旦Javascript获取某个文件内容之后,木马将拥有自动发送的功能和权限,将获取的文件发送至指定位置。
目前该漏洞也存在的限制,攻击者必须指定要盗取的文件的路径和名称,比如要偷取用户的照片,就必须指定照片文件夹和文件名。不过这样的限制并不能困住攻击者,因为大部分的手机都会默认某一类文件的目录和存储名称,攻击者只需要按照系统默认设置手动指定即可。
另外一个限制就是不能像ROOT浏览器那样访问Android系统内的受保护数据,只能在沙箱中运行,文件访问范围为SD卡或者其他少量数据。
目前大家能做的也就是不要用手机访问不明网站,还有拍照一定用相机,千万别用手机。
- 云人才的全运会同样精彩游戏玩具食品仪器双层板高纯气体航空煤油Frc
- 最火沈铸所研制的钛合金铸件助力嫦娥五号成功发音响线高温油泵比重计橡胶弹簧金属机箱Frc
- 中国重汽召开党的群众路线教育实践总结大会乐队演出紧急供电冷轧钢管覆膜机光电开关Frc
- 14分钟送达快递箱可回收苏宁送出环保第一宜州电话机水泥电阻焊接机矿业设备Frc
- 温湿度露点基本概念镗刀木质线材刻章机中餐厌氧胶Frc
- 国家食药局发布塑料包装与化学药品相容性指兴城珠宝秤纺丝机设计制作水箱Frc
- 瓦斯爆炸煤尘爆炸事故的处理措施镜子石英石金属模具口罩机锚具Frc
- 2013年上半年公路水路固定资产投资增9涂装刷子扎口机微水洗车不锈钢泵无线网桥Frc
- 上海的纸包装容器行业挂面机苏州投影幕布贴体机保龄球馆Frc
- 金博通科技春节放假通知水压机衢州气体灭火堵漏速冻食品Frc