高通公司缺陷将数百万个Android设备有风险
Android组件中的漏洞与使用Qualcomm芯片的手机提交了“短信和盗窃风险的短信和呼叫历史记录”。
来自Fireeye的安全研究人员发现了缺陷,并于3月份被高通行证修补。但是,由于五年前推出了漏洞,因此许多受影响的设备不太可能收到修复,因为它们“重新获得其制造商不再支持。
漏洞被跟踪为CVE-2016-2060,位于一个名为“NetD”的Android组件上,该组件被修改,以提供额外的系列功能。恶意应用程序可以利用漏洞才能执行命令作为具有特殊权限的“无线电”系统用户。
由于Qualcomm Chips非常受手机制造商欢迎,Fireeye研究人员估计了数百个Android手机型号受到影响。由于世界上有超过14亿活跃的Android设备,这可能意味着缺陷存在于数百万设备中。
根据高通新人创新中心的安全咨询,缺陷会影响所有Android果冻豆,Kitkat和棒棒糖发布。
要利用此漏洞,恶意应用程序只需要广泛使用的“Access_Network_State”权限,以便访问由修改的高通服务处公开的API。这使得难以检测剥削尝试。
“任何应用程序都可以与此API进行互动而不触发任何警报,”在博客文章中,Fireeye的子公司的杰克瓦莱塔说杰克瓦莱塔说。“Google Play可能不会将其标记为恶意,而Fireeye移动威胁预防(MTP)并没有最初检测到它。难以相信任何杀毒都会瞄准这种威胁。“
一旦获得“收音机”权限,恶意应用程序可以访问在同一用户下运行的其他应用程序的数据。这包括库存电话和电话提供商应用程序,可以访问短信,呼叫历史记录和其他敏感数据。
运行Android Kitkat(4.4)和稍后的设备受影响较少的设备,因为它们默认情况下,它们会带来启用的Android(Seandroid)机制的安全增强功能。这使得通过此缺陷窃取其他应用程序“数据。
在这些较新的Android版本中,“NetD”上下文“/ system / bin / roulish”可执行运行不具有与其他“无线电”用户应用程序数据交互的功能,具有有限的文件系统写入能力,并且通常有限在申请互动方面,“瓦莱塔说。
然而,他说,恶意应用程序仍然可以使用漏洞来修改系统属性。“这里的影响完全取决于OEM如何使用系统属性子系统。”
Google包括星期一发布的Android安全公告中的CVE-2016-2060漏洞。该公司将其评为高严重程度,因为“它可以用于获得提升的功能,例如签名或签名orysystem权限权限,这是一个第三方应用程序无法访问的权限。”