三星手机被曝有安全漏洞,百万用户恐被骇!
三星手机被曝有安全漏洞,百万用户恐被骇!
三星Galaxy系列手机,被曝出有严重系统漏洞,甚至不需点击就会中招!
根据外媒Forbes转述报道,这个漏洞从2014年底开始销售的Galaxy手机就存在了,它是名为“perfect 10”的关键安全漏洞,一经利用,可启用任意远程代码。
启用任意远程代码的意思,基本上就是等于被骇了。
报道称,三星于2014年年末为所有自家手机加入了对Qmage图像格式(.qmg)的支持,而三星的定制安卓系统在处理Qmage上存在漏洞。
谷歌“Project Zero”安全研究员Mateusz Jurczyk发现了一种利用Skia (安卓图形库)处理发送代码到Galaxy设备Qmage图像的方法。
Jurczyk表示,这个Qmage漏洞可以在“Zero Click”的情况下利用,意思是无需用户点击或操作,就会中招。
通过向三星设备重复发送MMS信息,每条消息都试图猜测Skia库在Android手机内存中的位置,就可以绕过安卓的ASLR(地址空间配置随机加载)保护。
攻击者通常需要100分钟左右的时间,发送50到300条彩信来探测和绕过ASLR。
一旦Skia库在内存中的位置被确定,最后一条彩信就会传递出实际的Qmage有效载荷,然后在设备上执行攻击者的代码。
虽然这种攻击看起来可能很密集,但也可以在修改后以不提醒用户的情况下执行。
目前,三星已经和谷歌合作,计划在5月的安全更新中对此进行修复。不过,不同设备的更新时间不一样,所以很难判断你的设备几时会收到更新。
而已经没有安全更新的三星设备,就只能考虑换机来避免这个漏洞了。
更多消息,请守住Mdroid。
来源:Forbes