三星手機爆安全漏洞!影響遍及2014年後所有機款 時隔6年現已修復

▲三星在印度的手機廠蓋在諾伊達工業區,占地35英畝。(圖/達志影像/美聯社)

▲三星上周發布了安全更新,修復自2014年以來一直存在於旗下所有智能手機中的關鍵漏洞。(圖/達志影像/美聯社)

記者王曉敏/綜合報導

Android在安全性方面有很多弱點,但大多數時候都可追溯至對開源平台所做的更動。三星上周發布了安全更新,修復自2014年以來一直存在於旗下所有智慧型手機中的關鍵漏洞。

綜合外電報導,該漏洞是由Google資安研究團隊Project Zero於2月份發現並將問題回報給三星,三星則已在上周發布的5月份安全更新中修復。該漏洞最早可追溯至2014年下旬,三星於當年度開始為旗下新推出的設備添增對Qmage圖像格式(.qmg)的支援,而三星的定制Android系統在處理該圖像格式上存在漏洞。

據Project Zero漏洞搜尋小組安全研究員Mateusz Jurczyk描述,Qmage Bug可在零點擊(zero-click)情況下利用,且無須與用戶進行任何交互。發生這種情況是因為Android將所有發送到設備的圖像重定向到圖形庫Skia,以在用戶不知情的情況下進行處理,如生成預覽縮圖等。

Jurczyk透過向三星設備發送重複的多媒體簡訊(MMS)來利用該漏洞。每則訊息都試圖猜測Skia圖形庫在Android手機記憶體中的位置,這是繞過Android的ASLR(位址空間組態隨機載入)保護機制的一項必要操作。Jurczyk指出,一旦Skia圖形庫在記憶體中的位置被確定,最後一則MMS就會傳送實際的Qmage負載,並於設備上執行攻擊者的程式碼。

據Jurczyk說法,這種攻擊通常需要50至300則MMS訊息來探測及繞過ASLR,通常平均得耗時100分鐘左右。此外,Jurczyk表示,這種攻擊「看起來可能很吵」,但其實也可以將其調整為不通知用戶的方式來執行,「我已經找到了在不觸發Android通知的情況下完全處理MMS訊息的方法,因此完全隱身攻擊是可以實現的。」

目前該漏洞已被三星修復,且由於只有三星修改了Android作業系統以支援由韓國科技公司Quramsoft所開發的自定義Qmage圖像格式,因此其他品排的智慧型手機似乎沒有受到影響。

點這裡,留個言吧! FB

※本文版權所有,非經授權,不得轉載。[ ETtoday著作權聲明 ]

范筱梵老公「3P帝王洗」影片曝光!  2女極樂共浴左右緊貼

相關新聞

讀者迴響

熱門新聞

最夯影音

更多

熱門快報

回到最上面