你是quadroot曝光的9億android使用者之一嗎?
安卓系統的漏洞引發了和大規模數據洩露一樣的感覺:我可能會發現自己是其中的一部分。至少在大規模數據洩露的情況下,我有機會切斷我的賬戶,並燒灼數據傷口。對於最新的Android bug——QuadRoot——這根本不是一個選擇。
這在很大程度上是由於Android並不完全存在漏洞。不,您的設備可能受到美國硬件**巨頭高通公司(Qualcomm)的威脅,而他們備受推崇的人氣是全球無數Android設備的首選。
這個錯誤與正常情況略有不同。Android漏洞通常會影響一個或少數使用特定硬件的**商,據估計QuadRoot會影響全球約9億Android用戶。那就是你,我,還有你曾經愛過的每一個人。
讓我們看看什麼是四邊形,它對你意味著什麼,以及究竟有人在做什麼來修復它。
四根是大的
有幾件事使QuadRoot與我們過去幾年遇到的其他Android bug不同。首先,Check Point,發現錯誤的安全研究團隊解釋說:
"QuadRooter is a set of four vulnerabilities affecting Android devices built using Qualcomm chipsets. Qualcomm is the world’s leading designer of LTE chipsets with a 65% share of the LTE modem baseband market. If any one of the four vulnerabilities is exploited, an attacker can trigger privilege escalati*** for the purpose of gaining root access to a device."
他們將四個安全漏洞列為:
- CVE-2016-2503在高通GPU驅動程序中發現,並於2016年7月在谷歌Android安全公告中進行修復。
- CVE-2016-2504在高通GPU驅動程序中找到,並於2016年8月在谷歌Android安全公告中進行了修復。
- CVE-2016-2059在高通內核模塊中找到,4月修復,但補丁狀態未知。
- CVE-2016-5340在高通GPU驅動程序中提供,並已修復,但修補程序狀態未知。
我的設備易受攻擊嗎?
由於高通公司是全球領先的LTE(長期演進)芯片組設計和**商,在LTE基帶調制解調器市場佔有65%左右的份額,因此您的設備很有可能被曝光。您可以使用check Point(發現漏洞的人)開發和發佈的QuadRooter Scanner[不再可用],檢查您的設備是否有漏洞。我有一加一:
對我來說真的很難過。
我有可能被利用嗎?
Check Point建議,暴露具有這些漏洞中任何一個的設備都相對容易。
"An attacker can exploit these vulnerabilities using a malicious app. Such an app would require no special permissi*** to take advantage of these vulnerabilities, alleviating any suspicion users may have when installing."
這不是固件更新引入的缺陷。該漏洞在您的設備出廠時存在。在控制芯片組組件之間通信的軟件驅動程序中發現的這個缺陷,實際上只能由設備**商通過OTA更新來修復。
與去年的StageFlight bug不同,QuadRoot實際上需要安裝惡意應用程序,很可能是在啟用了來自“未知來源”的應用程序安裝之後。除此之外,正如Google在其聲明中指出的(您可以在下一節中閱讀),Android的“驗證應用程序”功能就是為了防止這種類型的漏洞。Android 4.2JellyBean提供了這個功能,考慮到現在超過90%的Android設備都在運行這個版本或更高版本,而且這個bug隻影響前面提到的芯片組——我認為一切都會好起來的。
現在發生了什麼?
作為一家專業的安全研究公司,Check Point在幾個月前通知高通公司該漏洞。因此,他們已經為您的設備**商生產了一個芯片組補丁。球現在牢牢地落在他們的場地上。
一些受歡迎的設備**商已經採取措施安撫他們的用戶群。在一個案例中,修復方案已經推出。以下是一些主要的**商,以及他們目前的狀況[網址被刪除]。
谷歌
谷歌已經迅速採取行動保護其用戶。
"Android devices with our most recent security patch level are already protected against three of these four vulnerabilities. The fourth vulnerability, CVE-2016-5340, will be addressed in an upcoming Android security bulletin, though Android partners can take action sooner by referencing the public patch Qualcomm has provided."
作為安卓系統的核心開發者,谷歌也熱衷於強調安卓設備的其他安全措施。
"Our Verify Apps and SafetyNet protecti*** help identify, block, and remove applicati*** that exploit vulnerabilities like these."
流行設備:Nexus 5X、Nexus 6、Nexus 6P
黑莓
正如我前面提到的,一家**商已經向it用戶推出了修復方案。黑莓****業的堅挺,為人們帶來了榮譽和讚譽。
"Three of the four vulnerabilities have already been fixed on PRIV devices with the August Marshmallow patch and on all DTEK50 devices. In addition, the secure boot chain present in all BlackBerry devices naturally mitigates the remaining issue. We're not aware of any exploits for this vulnerability in the wild and we don't think any customers are currently at risk from this issue."
流行設備:黑莓Priv
索尼
索尼正致力於為他們的高通設備提供這些補丁。
"Sony Mobile takes the security and privacy of customer data very seriously. We are aware of the 'QuadRooter' vulnerability, and are working to make the security patches available within normal and regular software maintenance, both directly to open-market devices and via our carrier partners, so timings can vary by region and/or operator."
流行設備:索尼Xperia Z Ultra
摩托羅拉
摩托羅拉是另一家能夠提供好消息的**商。
"Recently a potential security vulnerability, Quadrooter was discovered in certain Android devices. This potential vulnerability can only be exploited if a user disables the built in Android security measure and downloads a malicious application. For more information on how to ensure this is disabled, this link is helpful for c***umers."
流行設備:Moto X
宏達電
HTC對於QuadRoot一直保持沉默,考慮到他們的設備中至少有兩個有暴露的風險。
"HTC takes customer security very seriously. We are aware of these reports and are investigating them."
熱門設備:HTC 10、HTC One M9
一加
OnePlus已經制定了應急計劃,將QuadRoot更新包含在下一個補丁中。
"Security is a top priority for OnePlus. The relevant security patches will be included in the next OTAs (Over The Air updates) for all OnePlus devices."
三星
到目前為止,三星還沒有發表官方聲明。
流行設備:Galaxy S7、Galaxy S7 Edge
lg公司
再次,LG目前還沒有正式聲明。
流行設備:lgg5、lgg4、lgv10
該擔心了?
與大多數安全漏洞一樣,您必須保持警惕。這些漏洞是存在的,但是除非你下載一個帶有相應惡意代碼的應用程序,否則你不太可能發現你的設備受到了攻擊。
googleplay商店包含數百萬個應用程序;包含惡意代碼以利用這些特定漏洞的應用程序可能是其中的任何一個。因此,保持警惕。檢查反饋。交叉檢查開發人員和發佈者信息。看看下載數據。想想常見的騙局。不要下載那些可笑的應用程序,它們會把你的**變成它不存在的東西。
你應該設法避開任何潛在的惡意因素之前,你的設備**商發佈的修補程序,使你的安全達到零。然而,這個最新的bug再次凸顯了整個Android安全模型中存在的固有風險。與蘋果不同,蘋果只需開發一個補丁並向其數億用戶推出,關鍵的安卓安全補丁必須經過每個**商的整個供應鏈,然後才能到達他們設計幫助的用戶。
我喜歡Android,並且絕對會繼續使用它,但是作為一個用戶,你必須保持警惕。
擔心四根?Android漏洞的數量是否讓您重新考慮平臺?下面讓我們知道你的想法!
- 發表於 2021-03-17 16:43
- 閱讀 ( 39 )
- 分類:安全
你可能感興趣的文章
10個線上工具幫助你保持新年決心
... 有了Android和iOS上的應用程式,以及功能齊全的網路應用程式,你可以在任何地方記錄你的運動和飲食。食品資料庫包括超過500萬種食品。而且,如果你找不到你想要新增的食...
9個應用程式,幫助您從android相機中獲得更多資訊
...更好的**嗎?你想讓你的照相**更有創意嗎?你準備好用Android裝置替換你的單反了嗎? ...
這10個燈光室的錯誤會毀了你的照片嗎?
...的曝光級別。尤其是當你只是用眼睛看的時候,就像很多使用者那樣。 ...
twitch和流媒體是如何改變影片遊戲的
...遜的分銷平臺。TwitchPrime就是這樣一個例子,亞馬遜Prime使用者可以更快地訪問遊戲和遊戲內的戰利品。雖然這看起來很典型,但想象一下如果Steam也擁有一個線上影片平臺。你不認為Steam會喜歡一些遊戲而不是其他遊戲,以便從...
如何拍攝2017年日全食
如果你是一個自然攝影愛好者,日全食提供了一個無與倫比的機會,一些驚人的照片。但是拍攝日食需要一些特殊的考慮。在拍攝今年(或其他任何時候)的日食時,這裡有六件事要記住。 ...
據《科學》雜誌報道,拍一張好的自拍照的十大祕訣
...可以提供對ISO、光圈和快門速度的完全控制。如果你使用Android,看看這些相機應用吧,而我們的ProCamera for iPhone展示了你如何過度曝光照片。 ...
在photoshop中照亮暗底片的5種方法
... 你是這樣做的。單擊“圖層”選項板底部的“調整圖層”按鈕。然後選擇要使用的工具,如亮度/對比度或曲線。 ...
你應該買三星嗎?5款三星galaxy s8可選
...變成一個桌面。但DeX是單獨銷售的,而且,這並不是每個使用者都需要的功能。S7無論如何都沒有過時,現在S8上市,三星的Galaxy S7和S7 Edge一定會上市。 ...
10款你從未聽說過的極具創意的移動應用
...驗,比如音樂**、攝影和影片編輯,要麼面向新手和業餘使用者。所以不要害羞——去探索新的藝術形式。 ...
你必須從2016年的重大安全事件中學到什麼
...LinkedIn成功地超越了這一點,丟失了1.17億張憑據,佔當時使用者總數的73%。儘管這起攻擊在5月份曝光,但不到一個月後,微軟仍以262億美元收購了LinkedIn。延續LinkedIn糟糕的一年,他們的線上學習網站Lynda似乎也受到了威脅。 ...
