安基网 首页 资讯 安全报 查看内容

一款安卓手机爆出系统漏洞!加密照片、APP密码都会被攻击

2018-10-27 00:39| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 两个来自广州的IT从业者,出于业余爱好对智能手机操作系统进行逆向工程分析,却意外挖出了一个来自某TOP品牌安卓手机系统的漏洞!在近日举行的GeekPwn2018国际安全极客大赛现场,AMC团队的两名成员利用这一漏洞演示 ...

两个来自广州的IT从业者,出于业余爱好对智能手机操作系统进行逆向工程分析,却意外挖出了一个来自某TOP品牌安卓手机系统的漏洞!

在近日举行的GeekPwn2018国际安全极客大赛现场,AMC团队的两名成员利用这一漏洞演示了如何在2分钟内窃取一张被机主加密了的照片。据悉,他们是利用手机操作系统的漏洞,通过在手机中安装一个恶意APP,可以用高权限调用其他组件,从而绕过私密相册的身份验证。

然而在挑战结束后该团队向南都记者表示,实际上这一漏洞所能做的远远不止破解加密相册,而是可以解开手机内使用隐私密码的APP密码限制。

安卓手机漏洞破解现场

以下为南都记者专访AMC团队成员杨志伟、胡强实录摘要:

南都:什么时候发现这个漏洞的?

AMC:9月份。我们平时拿到新手机后都喜欢分析它的各种玩法,后来通过业余逆向分析发现了这么一个漏洞。可以通过这个漏洞向系统里的一些应用发起攻击,大部分可以设置密码的app都可以被破解。

虽然我们只演示了窃取照片,但是这个影响实际是很大的,一旦被恶意利用可以拿到被攻击者的不光是照片甚至还有其他的隐私信息。

解释利用漏洞恶意攻击的比喻原理

南都:这一漏洞是单款手机的还是某个品牌特有的?

AMC:暂发现是单个手机品牌的系统中的漏洞。目前国产手机系统都是基于安卓定制的,厂商在安卓的底层上进行了很多修改,其中难免会出现疏漏的地方。每次安卓最新的系统发布,也会有很多漏洞被发现,但谷歌很快会更新修复。

南都:现在这个漏洞是否被修复?

AMC:还没,尽管更新了新系统,但我们测试发现新系统暂还有这个漏洞。因为该手机厂商安全漏洞响应中心藏得太深了,对外不是很明显,我们没找到渠道和入口提交漏洞。

南都:接下来会如何修复?

AMC:漏洞已经提交给geekpwn 组委会了,组委会会很快会公布给手机厂商,但何时能够修复还是要取决于手机厂商。

南都:对厂商和用户的建议?

AMC:建议手机厂商抱着开放的心态,每家手机厂商可能自己也花了很大精力做安全,但安卓毕竟是开源的,苹果都无法保证它的系统是安全的,所以希望手机厂商保持开放心态,多和开发者交流;其次手机厂商建议也需要加大安全方面的投入,现在的智能手机价格越来越贵,但若一味地拼美颜、摄像头、AI,反而忽视了最底层的安全,底层安全问题没有爆发还好,一旦爆发可能就是很严重的危机。尤其在万物智能时代,如何保证最底层的安全是不容忽视的问题。

对用户的建议是一定要升级到最新的系统,因为每一个升级的背后都会修复很多漏洞,另外也建议我们普通用户自己也需要加强个人信息的隐私保护。


除了软件系统层面的漏洞之外,来自腾讯安全玄武实验室的研究员马卓在GeekPwn 2018现场首度演示了智能手机“屏幕指纹”技术的硬件漏洞。

南都记者在现场看到,马卓用一张纸片在几秒钟内轻松解锁了一款智能手机的屏幕指纹,并在十分钟内将这一方法传授给了主持人和评委。现场观众直呼“可怕”,众所周知屏幕指纹技术是当下最流行的智能手机解锁方案之一,包括华为、OPPO、vivo等厂商的产品均有使用。

屏幕指纹破解视频:

据其解释目前的屏下指纹解锁功能是利用光学技术捕捉用户的指纹影像,通过反射体欺骗的方法,可以利用屏幕上残存的指纹痕迹,让屏下指纹传感器认为手机的主人正在使用指纹验证。据悉,该漏洞属于屏下指纹技术设计层面的问题,会几乎无差别地影响所有使用屏下指纹技术的设备。

随后腾讯玄武安全实验室负责人于旸(TK教主)表示目前该漏洞已经被修复,“腾讯安全玄武实验室早在今年初就开始和国内几家主流手机厂商合作,不仅通过更新算法修复了已上市手机中的漏洞,还将相关解决方案提交给相关芯片厂商,推动了供应链层面的安全修复。”


采写:南都记者 马宁宁 实习生 卢洁萍

南都视频:许晓鑫 实习生 蔡佩君

Tag标签:

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://toutiao.3g.oeeee.com/mp/toutiao/BAAFRD000020181026111965.html

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部