IBM发现Android特权提升漏洞 影响55%设备

【天极软件频道消息】近日IBM旗下X-Force应用安全研究团队的研究人员在Android和某些热门应用的SDK上发现了漏洞，该特权提升漏洞影响全球55%的Android设备(版本4.3及以上)。该团队在视频中进行了概念验证，并且成功替换了设备上的Facebook app。

IBM发现Android特权提升漏洞 影响55%设备

该漏洞主要归咎于Android在进程间通讯(IPC)时的薄弱代码，更具体点说就是OpenSSLX509Certificate类。攻击者可以在无需特殊权限的情况下，利用该漏洞将恶意代码诸如到IPC请求队列中，如此一来，该应用就能够获得系统级的权限。

研究人员在某些应用的SDK中也发现了类似漏洞，在调查的37701款app中，有许多都涉及这方面，甚至有些应用依赖于高达6个的风险SDK。

通过一款名叫SWIG的低级别工具包，攻击者可以很轻松地向目标注入代码。在这种情况下，恶意应用可以假借某个脆弱的app之手获取相同的权限，甚至完全访问该应用的程序、数据和功能。

据悉，Google和SDK的开发商均以提供了软件补丁，但考虑到非Nexus设备的更新推送工作必须通过原始设备制造商(OEM)或运营商进行，所以当前绝大多数用户仍面临相当大的风险。

研究人员表示，目前暂未在外界看到任何利用该漏洞的情况，但情况很可能随时发生改变。

天极新媒体 最酷科技资讯

扫码赢大奖

评论

* 网友发言均非本站立场，本站不在评论栏推荐任何网店、经销商，谨防上当受骗！

相关文章