<span class=”tech-quotation-right tech-span”></span>
class=”tech-con”> href=”http://zhongce.sina.com.cn?frompage=techdoc” target=”_blank”>新浪眾測,體驗各領域最前沿、最有趣、最好玩的產品吧~!下載客戶端還能獲得專享福利哦!</div>
class=”tech-quotation-left tech-span”>本文來自cnBeta
安全研究人員在三星預裝的安卓應用中發現了多個關鍵的安全漏洞,如果成功利用這些漏洞,可能會讓黑客在未經使用者同意的情況下訪問個人資料,並控制裝置。
移動安全初創公司Oversecured的創始人Sergey Toshin在週四發表的分析報告中表示,這些漏洞可能允許攻擊者訪問和編輯受害者的聯絡人、電話、簡訊/彩信,以裝置管理員的許可權安裝任意應用程式,或以系統使用者身份讀寫任意檔案,並且可能改變裝置的設定。
Sergey Toshin在2021年2月向三星報告了這些漏洞,之後三星在4月和5月的每月安全更新中釋出了補丁,針對以下漏洞:
CVE-2021-25356–管理供應中的第三方認證繞過
CVE-2021-25388 – Knox核心中的任意應用安裝漏洞
CVE-2021-25390 – PhotoTable中的意圖重定向
CVE-2021-25391 – 安全資料夾中的意圖重定向
CVE-2021-25392 – 有可能訪問DeX的通知策略檔案
CVE-2021-25393 – 可能以系統使用者身份讀/寫訪問任意檔案
CVE-2021-25397 – TelephonyUI中的任意檔案寫入
這些漏洞的影響意味著它們可以被利用來安裝任意的第三方應用程式,授予裝置管理員許可權來刪除其他已安裝的應用程式或竊取敏感檔案,作為系統使用者讀取或寫入任意檔案,甚至執行特權操作。
在一個概念驗證(PoC)演示中,黑客可以利用PhotoTable和Secure Folder中的意圖重定向漏洞,劫持應用程式的許可權,訪問SD卡並讀取手機中儲存的聯絡人。同樣,通過利用CVE-2021-25397和CVE-2021-25392漏洞,攻擊者可以用惡意內容覆蓋儲存簡訊/彩信的檔案,竊取使用者通知中的資料。
建議三星裝置所有者安裝三星最新韌體更新,以避免任何潛在的安全風險。
<script async=”” charset=”utf-8″ src=”//d5.sina.com.cn/litong/zhitou/sinaads/release/sinaads.js”></script>
<script language=”javascript” type=”text/javascript” src=”//d2.sina.com.cn/d1images/button/rotator.js”></script>
<script type=”text/javascript”>
(function(){
var adScript = document.createElement(‘script’);
adScript.src = ‘//d1.sina.com.cn/litong/zhitou/sinaads/demo/wenjing8/js/yl_left_hzh_20171020.js’;
document.getElementsByTagName(‘head’)[0].appendChild(adScript);
})();
</script>
近期留言