漏洞风波再起,你认为最安全的那个平台真的安全么?
MWR 实验室近日公布了 Android 的又一安全漏洞,攻击人员可以通过一些手段绕过 Android 的沙箱机制。
从本质上来说,Android 通过使用沙箱的概念来实现应用程序之间的分离和权限,以允许或拒绝一个应用程序访问设备的一些资源。
Threatpost 详细介绍了 MWR 实验室所提到的这个漏洞的工作原理:
当 Google Admin 应用程序接收到一个 URL ,并且该 URL 是通过同一设备上任何其他应用的 IPC 调用接收时,Admin 程序会将这个 URL 加载到它活动内的 Webview 中。这时若攻击者使用一个 file:// URL 链接到他们所控制的文件,那么就可以使用符号链接绕过同源策略,并接收到 Admin 沙箱中的数据。
Threatpost 还介绍称,MWR 早在三月份就向 Google 方面递交了这个漏洞问题,不过在如今的补丁包中仍未看到 Google 对这个漏洞做出任何反应,于是 MWR 决定公布这个消息,并提醒用户尽量不要安装不可信的第三方 APP。
不过似乎最近关于 Android 安全的问题就没消停过。
上月底的时候,Android 就曾曝出彩信漏洞的问题。网络安全机构 Zimperium 在 Android 上发现了一个严重漏洞——Stagefright。黑客只需要通过用户的手机号码,并以发送彩信的方式执行恶意代码,然后就可以控制用户手机。这个漏洞波及了 9.5 亿左右 Android 设备。
虽然 Google 很快对这个漏洞给出了相应的补丁包,不过外媒表示部署到全部用户则需要几个月的时间。
此前 ZDNet 也报道过一些黑客可以使用 “指纹传感器监视攻击方法”,在一些厂商的 Android 设备中随意窃取用户的指纹数据,黑客们已经在 HTC 及三星手机上成功演示攻击过程。
Google 曾在今年的六月份公布 “安全奖励计划”,鼓励社会上的安全人员发现 Android 系统上存在的问题或漏洞。不过 Google 的原意是想让更多的技术人员参与进来,让自己的 Android 平台更安全,但似乎一波一波的安全问题正掀起网民对 Android 平台的激烈讨论。
无独有偶,Mac 平台在昨日也刚刚曝出 0day 漏洞。意大利的一名开发者发现,OS X Yosemite 存在的漏洞将允许攻击者无需密码直接获得 root 访问权限,而这个漏洞影响到 Yosemite 的每一个版本。
当然,苹果的 iOS 也曾曝出过相当多的安全漏洞,此前 iOS 的锁屏漏洞可谓修修补补经历了好几个版本;以色列公司也曾通过虚假 WiFi 成功攻击 iOS ;去年因 iCloud 的安全问题,还曾曝出多位明星的艳照。
我们正在使用的 iOS 8 系统甚至被网民戏称为 “史上 BUG 最多的 iOS”。
此前微软 IE 也曾曝出多次严重漏洞,微软也在今年的黑帽大会上举行了漏洞大奖赛,鼓励用户上报 Windows 10 的 BUG 及漏洞。
题图来自 123RF