您没有来错地!为了更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 互联网 查看内容

QQ音乐等多款App含严重漏洞 影响610万用户

2015-12-8 10:26| 投稿: lofor

摘要: 虽然人们一直在努力保护自己的电子设备不被黑客入侵,但是黑客是那么聪(jiao)明(hua),他们总会找到新方法来入侵你的设备。虽然你也可以相信一旦漏洞被发现,它们将在几天至几周之内得到厂商的修复,但是事实并 ...

虽然人们一直在努力保护自己的电子设备不被黑客入侵,但是黑客是那么聪(jiao)明(hua),他们总会找到新方法来入侵你的设备。虽然你也可以相信一旦漏洞被发现,它们将在几天至几周之内得到厂商的修复,但是事实并不总是这样。

最近专家们发现了一个在智能设备软件组件中存在着有三年之久的漏洞,该漏洞影响了610万的智能设备,多个厂家尚未对该漏洞进行修复。由此,智能电视,路由器,智能手机以及其他许多的物联网(loT)设备面临极大威胁。

近日趋势专家的安全研究员将这个自2012年就被发现但是仍未修复的漏洞曝光。

远程控制执行代码漏洞

安全研究员们发现了便携式UPnP以及libupnp设备SDK中存在一系列远程执行代码(RCE)漏洞——一个由诸多移动设备,路由器,智能电视以及其他物联网设备开发者使用的互联网媒体流文件软件库。

这个漏洞通过简单服务发现协议(SSDP)的缓冲区溢出,某些版本的SDK中存在有该漏洞,通过该漏洞攻击者可以获得目标设备的全部控制权。

研究员称,这个漏洞实际上在2012年已经被修复,但是许多应用仍然使用老版本的库,该库允许攻击者对安装了有缺陷app的设备进行远程代码执行攻击。

“我们发现有547款app使用老版本的libupnp,其中的326个应用是由Google Play Store 提供的。”趋势科技移动分析师 Veo Zhang 在上周四发布的一篇blog中写道。

有缺陷App被百万用户下载使用

这些开发商开发的有缺陷的App中影响范围最广的可以说是QQMusic了,单单在中国就有百万用户受到影响,并且在Google Play Store中也有百万下载量。虽然,这个安全问题近日已经被开发商修复了。

移动分析师也认为该漏洞影响了 Netflix公司的移动程序,其有百万次的下载量,

“根据Netflix与我们的进一步交流,我们了解到Netflix使用了他们自己的libupnp,它已经不再是libupnp的一部分了。”他们使用的这个版本包含了新版本中对于libupnp的修复,所以我们相信该公司的应用不会被这个潜在移动代码执行攻击漏洞所影响。“

其他的一些受欢迎的应用通过使用老版本library的还包括三星的 nScreen Mirroring, CameraAccess Plus 与 Smart TV Remote。

受该漏洞影响App列表

下面的列表中显示了趋势科技分析师已经实际测试与分析过的部分受影响App:

通用名Package Name
AirSmartPlayercom.gk.airsmart.main
Big2Smallcom.alitech.dvbtoip
CameraAccess plusjp.co.pixela.cameraaccessplus
G-MScreenmktvsmart.screen
HexLink Remote (TV client)hihex.sbrc.services
HexLink-SmartTV remote controlcom.hihex.hexlink
Hisense Android TV Remotecom.hisense.commonremote
nScreen Mirroring for Samsungcom.ht.nscreen.mirroring
Ooredoo TV Omancom.ooredootv.ooredoo
PictPrint – WiFi Print App –jp.co.tandem.pictprint
qa.MozaicGO.AndroidMozaic GO
QQMusiccom.tencent.qqmusic
QQ音乐HDcom.tencent.qqmusicpad
Smart TV Remotecom.hisense.common
Wifi Entertainmentcom.infogo.entertainment.wifi
モバイルTV(StationTV)jp.pixela.px01.stationtv.localtuner.full.app
에브리온TV (무료 실시간 TV)com.everyontv
多屏看看com.letv.smartControl
海信分享com.hisense.hishare.hall

虽然QQ音乐以及LinPhone(IP电话工具)都表示这个问题已经被解决,并且发布了修复了该漏洞的新版本应用。

趋势科技的安全专家们也将会继续检查其他有可能被该漏洞影响的App。

威客安全小编建议大家:

检查自己的移动设备上是否安装了上表的这些app

您可以暂时通过删除该App或者升级解决这个问题。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部