三星被曝了什么新漏洞?
7月26日,网络安全团队思科Talos发布了一份漏洞分析报告称,他们在三星SmartThings Hub智能家居设备中发现了20个新漏洞,为网络攻击者提供多种攻击受害者家庭物联网(IOT)的能力。据了解,SmartThings的主要用途就是连接各个不同厂商的产品,让用户监控、控制和自动操作家庭中的各种连接设备,比如智能插头、LED灯泡、监控摄像等。而这款类似于“大脑”的核心产品,却被曝出存在被入侵的可能性。报告指出,攻击者可以利用这些漏洞获得访问用户敏感信息的权限,进而控制家中其他设备,执行未经授权的指令。比如,通过摄像头远程监视家中情况,禁用报警系统等。不过,攻击者想利用漏洞发起攻击并不容易,他们需要同时结合多个漏洞才能完成入侵。目前已知的攻击链有三种。研究人员同时表示,思科Talos已经和三星紧急推出了最新的安全补丁修复漏洞。据国外媒体报道,一名三星发言人表示,目前已经部署了安全补丁来修复这些漏洞。“我们意识到了SmartThings Hub V2的安全漏洞,并发布了一个自动更新补丁来解决这个问题。”市场上所有在售的SmartThings Hub V2设备都是最新更新的。此前,三星SmartThings平台就曾被曝出存在多个设计缺陷。比如,利用软件漏洞可以解锁车门,通过虚假的信息设置打开智能锁等。密歇根大学计算机科学与工程系教授Atul Prakash曾表示:“SmartThings这样需要通过App访问其它连接对象的智能家居平台,其实在出现漏洞的时候非常危险。打个比方,如果你能够让别人控制办公室的灯,那么就同样有机会让别人获得整个办公室的权限,甚至包括保险柜里的内容。”
三星多款机型现漏洞:涉21个安全问题,影响4000万用户
三星手机再爆利空,被发现一系列漏洞,涉及21个安全问题,受影响用户多达4000万。
10月10日,据福布斯报道,随着三星已经向Galaxy设备用户发出10月份的安全维护版本 (SMR),这也证实了三星的Galaxy S8、S9、S10、S10E、S10 Plus、S10 5G、Note 9、Note 10和Note 10 Plus受到安全漏洞的影响。此次共涉及21个安全问题,其中有1个为严重安全漏洞,3个为高等级漏洞。除此之外,这些漏洞中的4个与Android有关,可能影响数亿手机的使用。而另外17个则与三星的“one”用户界面有关。
福布斯称,有一个Galaxy 9漏洞被评为严重漏洞:SVE-2019-15435。这对Galaxy S9和Note9都有影响。目前尚不清楚该漏洞的确切技术性质。三星Galaxy9智能手机销量约为3000万部,GalaxyNote9设备销量为1000万部,这意味着有4000万用户受到影响。
有关SVE-2019-15435的严重漏洞外界了解不多,三星公布的唯一信息如下:“需要加强IMEI安全机制,以提高对潜在IMEI操作的保护。”有人建议,这涉及一种规避IMEI黑名单的方法,该黑名单可防止被盗设备容易被转售。任何绕过这种保护的东西,都会使涉案设备对罪犯更具吸引力,他们可以通过出售带有“干净”IMEI号码的设备来获得更好的利润。
此外,由谷歌零号项目组(Project Zero)日前也发现的一个名为“CVE-2019-2215”的安全漏洞,预计将影响数亿部Android手机的使用。
这个名为“CVE-2019-2215”的漏洞已被谷歌方面确认。报道称,一家专门出售漏洞的以色列公司NSO与该漏洞的利用有关。攻击者通过物理手段或恶意软件远程访问就可利用该漏洞来获得用户设备的控制权限。
目前,谷歌方面正在通过其十月补丁来解决该漏洞以及其他安全问题。十月份的Pixel更新公告显示, Pixel 1和Pixel 2这两款设备会在10月份的更新中收到CVE-2019-2215的补丁程序,而Pixel 3和Pixel 3a这两款设备并不容易受到该漏洞的影响。此外,在已向所有Galaxy设备用户推送的三星10月例行安全维护版本(SMR)中,也包含了来自谷歌的补丁程序。
尽管更新并不总是完美,但是受影响的手机设备用户来说,厂家的补丁推出后还是要第一时间来更新。推迟安装最新更新,意味着你的智能手机仍然易受攻击。
,在国内谷歌承认是真安卓系统的只有小米和华为吗?
小米手机在低端市场还是挺受追捧的,但是苹果的IOS绝对是经典之作。别的我不多说,我曾经见过一篇经典的帖子我给你贴一些看一下你就明白了。 4代的配置虽然已经不算最强因为电子产品的进化周期本来就是买回家就淘汰的永远跟不上,但3gs和4的综合价值已经远远超过这个时代的任何一部手机了。有的人喜欢看硬件尤其是处理器频率,或者特别喜欢强调双核四核,htc和三星也整天对飙硬件,恨不得只要电量允许把手机弄成没有裤兜能塞的进的超大屏幕和4个甚至8个核,虽然安卓喜欢砸本钱往上飙硬件,但是法拉利的发动机不代表能牵引火车头,代码优化和软件质量,才是同等科技水平下的竞争力。还有人说iphone不支持flash,废话因为iphone坚持发展html5,乔布斯.flash是业界都知道的以前adobe公司的总裁还为此破口大骂,其实支持flash不过是一个小插件的问题,4代的天线信号不好换做别的手机上早就已经是超级硬伤了可ip还能做到如此畅销是要有几道硬菜的,除非google能像苹果一样哪一天研制出一个革命性的操作方式,或者连cpu的材料都变了,那这就是google的硬菜了,比如用眼睛或者追踪瞳孔来控制界面甚至干脆把通话上网设备整合到人的大脑里由我们的意志直接控制。可惜他们估计没这么强,如果真的做到了这就不叫竞争了,这叫革命。可这一天来之前人类会不会灭绝还是个问题。 安卓引以为傲强调了这么多年的开源,我是没有看到什么实际效果,目前全世界开发ios的人数已经超过百万,而开发安卓的不足10万。这么多年了才勉强加了几个凑合的功能,而且各个厂商不同大小的屏幕和配置已经把安卓弄得乱七八糟,google去年的发布会我看了,发言人很尴尬的告诉我们邮件界面被拉大了,(这种加几行代码的行为在iphone的插件高手里都不好意思提)然后自己都支支吾吾不得不承认遇到了升级系统的瓶颈因为硬件太乱了,这话让我不由得想到一个词叫胎死腹中,而三星htc甚至是国内准备低价占领市场的小米都把安卓的原生系统改得面目全非,几乎是想怎么改就怎么改。开源的理念本身没有什么错误,因为google自身是搜索引擎起家的技术实力落后于微软和苹果是很正常的事情,他本来就需要全世界开发者的支持和帮助,但人各有思路,放权过度会导致每个人都按照自己的思维方式去改变它,集思广益带来的好处远远没有搅乱目标的损失大。我相信google的老板自己都不知道自己要干啥了还去收购摩托罗拉,谁都知道他看上了摩托的大量专利并希望拥有一条完整的生产供应销售体系做到今后的自产自销、而这摸索期间苹果已经是诺基亚的好几十倍了,世界上只有苹果能做到自己设计自己造自己卖。虽然我很赞赏google的那句:不做坏事。但这个年轻的企业实力面前实在是显得力不从心。他们的管理层相处沟通的不好也被经常爆料了不知道会不会随时来个火上浇油。 出自百度贴吧某水友
安卓手机自带的浏览器真的比别的浏览器更安全吗?
安卓自带的浏览器也没有,别的浏览器更安全,是一样的。IE浏览器其实我们新买的手机的时候,那个系统自带的那些浏览器和软件也比那些别的浏览器,不一定是说更安全或者是更好用,就是因为自带的话它是从官方下载下来的话也是更安全,但是自己下的话也是可以从官方网站下来也是一样的安全。所以说没有说安卓手机自带的浏览器比别的浏览器更安全,而且相反的有一些浏览器是系统或者是手机官方他们自己制作制作的一些软件,反正可以偷窥别人的隐私,有些我自己都卸载了。
Android 应用有哪些安全漏洞
首先,题主询问“Android 应用”的安全漏洞,说到 Android 应用的安全漏洞,如果抛开系统设计问题,其主要原因是开发过程当中疏漏引起的。但其实也并不能把这些责任都怪在程序猿头上。所以本答案也将会对 Android 系统设计以及生态环境做一些阐述。(如果想了解 Android 恶意软件的情况,那就需要另开题目了。)1. 应用反编译漏洞:APK 包非常容易被反编译成可读文件,稍加修改就能重新打包成新的 APK。利用:软件破解,内购破解,软件逻辑修改,插入恶意代码,替换广告商 ID。建议:使用 ProGuard 等工具混淆代码,重要逻辑用 NDK 实现。例子:反编译重打包 FlappyBird,把广告商 ID 换了,游戏改加插一段恶意代码等等。2. 数据的存储与传输漏洞:外部存储(SD 卡)上的文件没有权限管理,所有应用都可读可写。开发者把敏感信息明文存在 SD 卡上,或者动态加载的 payload 放在 SD 卡上。利用:窃取敏感信息,篡改配置文件,修改 payload 逻辑并重打包。建议:不要把敏感信息放在外部存储上面;在动态加载外部资源的时候验证文件完整性。漏洞:使用全局可读写(MODE_WORLD_READABLE,MODE_WORLD_WRITEABLE)的内部存储方式,或明文存储敏感信息(用户账号密码等)。利用:全局读写敏感信息,或 root 后读取明文信息。建议:不适用全局可读写的内部存储方式,不明文存储用户账号密码。3. 密码泄露漏洞:密码明文存储,传输。利用:root 后可读写内部存储。SD 卡全局可读写。公共 WiFi 抓包获取账号密码。建议:实用成熟的加密方案。不要把密码明文存储在 SD 卡上。4. 组件暴露 (Activity, Service, Broadcast Receiver, Content Provider)漏洞:组件在被调用时未做验证。在调用其他组件时未做验证。利用:调用暴露的组件,达到某种效果,获取某些信息,构造某些数据。(比如:调用暴露的组件发短信、微博等)。监听暴露组件,读取数据。建议:验证输入信息、验证组件调用等。android:exported 设置为 false。使用 android:protectionLevel="signature" 验证调用来源。5. WebView漏洞:恶意 App 可以注入 JavaScript 代码进入 WebView 中的网页,网页未作验证。恶意网页可以执行 JavaScript 反过来调用 App 中注册过的方法,或者使用资源。利用:恶意程序嵌入 Web App,然后窃取用户信息。恶意网页远程调用 App 代码。更有甚者,通过 Java Reflection 调用 Runtime 执行任意代码。建议:不使用 WebView 中的 setJavaScriptEnabled(true),或者使用时对输入进行验证。6. 其他漏洞ROOT 后的手机可以修改 App 的内购,或者安装外挂 App 等。Logcat 泄露用户敏感信息。恶意的广告包。利用 next Intent。7. 总结Android 应用的漏洞大部分都是因为开发人员没有对输入信息做验证造成的,另外因为 Intent 这种特殊的机制,需要过滤外部的各种恶意行为。再加上 Android 应用市场混乱,开发人员水平参差不齐。所以现在 Android 应用的漏洞,恶意软件,钓鱼等还在不断增多。再加上 root 对于 App 沙箱的破坏,Android 升级的限制。国内的 Android 环境一片混乱,惨不忍睹。所以,如果想要保证你的应用没有安全漏洞,就要记住:永远不要相信外面的世界。
Android 应用有哪些常见,常被利用的安全漏洞?
首先,题主询问“Android 应用”的安全漏洞,说到 Android 应用的安全漏洞,如果抛开系统设计问题,其主要原因是开发过程当中疏漏引起的。但其实也并不能把这些责任都怪在程序猿头上。所以本答案也将会对 Android 系统设计以及生态环境做一些阐述。(如果想了解 Android 恶意软件的情况,那就需要另开题目了。)
1. 应用反编译
漏洞:APK 包非常容易被反编译成可读文件,稍加修改就能重新打包成新的 APK。
利用:软件破解,内购破解,软件逻辑修改,插入恶意代码,替换广告商 ID。
建议:使用 ProGuard 等工具混淆代码,重要逻辑用 NDK 实现。
例子:反编译重打包 FlappyBird,把广告商 ID 换了,游戏改加插一段恶意代码等等。
2. 数据的存储与传输
漏洞:外部存储(SD 卡)上的文件没有权限管理,所有应用都可读可写。开发者把敏感信息明文存在 SD 卡上,或者动态加载的 payload 放在 SD 卡上。
利用:窃取敏感信息,篡改配置文件,修改 payload 逻辑并重打包。
建议:不要把敏感信息放在外部存储上面;在动态加载外部资源的时候验证文件完整性。
漏洞:使用全局可读写(MODE_WORLD_READABLE,MODE_WORLD_WRITEABLE)的内部存储方式,或明文存储敏感信息(用户账号密码等)。
利用:全局读写敏感信息,或 root 后读取明文信息。
建议:不适用全局可读写的内部存储方式,不明文存储用户账号密码。
3. 密码泄露
漏洞:密码明文存储,传输。
利用:
root 后可读写内部存储。
SD 卡全局可读写。
公共 WiFi 抓包获取账号密码。
建议:实用成熟的加密方案。不要把密码明文存储在 SD 卡上。
4. 组件暴露 (Activity, Service, Broadcast Receiver, Content Provider)
漏洞:
组件在被调用时未做验证。
在调用其他组件时未做验证。
利用:
调用暴露的组件,达到某种效果,获取某些信息,构造某些数据。(比如:调用暴露的组件发短信、微博等)。
监听暴露组件,读取数据。
建议:验证输入信息、验证组件调用等。android:exported 设置为 false。使用 android:protectionLevel="signature" 验证调用来源。
5. WebView
漏洞:
恶意 App 可以注入 JavaScript 代码进入 WebView 中的网页,网页未作验证。
恶意网页可以执行 JavaScript 反过来调用 App 中注册过的方法,或者使用资源。
利用:
恶意程序嵌入 Web App,然后窃取用户信息。
恶意网页远程调用 App 代码。更有甚者,通过 Java Reflection 调用 Runtime 执行任意代码。
建议:不使用 WebView 中的 setJavaScriptEnabled(true),或者使用时对输入进行验证。
6. 其他漏洞
ROOT 后的手机可以修改 App 的内购,或者安装外挂 App 等。
Logcat 泄露用户敏感信息。
恶意的广告包。
利用 next Intent。
7. 总结
Android 应用的漏洞大部分都是因为开发人员没有对输入信息做验证造成的,另外因为 Intent 这种特殊的机制,需要过滤外部的各种恶意行为。再加上 Android 应用市场混乱,开发人员水平参差不齐。所以现在 Android 应用的漏洞,恶意软件,钓鱼等还在不断增多。再加上 root 对于 App 沙箱的破坏,Android 升级的限制。国内的 Android 环境一片混乱,惨不忍睹。所以,如果想要保证你的应用没有安全漏洞,就要记住:永远不要相信外面的世界。
