神刀安全网

高通QSEE漏洞影响六成采用了该公司安全平台的Android设备

Google在今年1月的Nexus安全公告中修复了名为CVE-2015-6639Android设备的信任区(TrustZone)提权漏洞,其影响到六成采用了高通安全平台的Android设备。 四个月后,一名安全人员解释了这个“高通安全执行环境”(QSEE)漏洞是如何被用来攻破Android设备的。 Android TrustZone是系统内核中的一个独立于内核中其它部分工作的特殊部分,负责处理最重要和敏感的操作(比如数据加密)。

高通QSEE漏洞影响六成采用了该公司安全平台的Android设备

安全研究人员Gal Beniamini在高通定制实现的TrustZone内核中 发现 了该漏洞,其被用于搭载了高通芯片的Android智能机上。

Beniamini表示,其本身是“无害”的,但如果攻击者将它与另一个漏洞(CVE-2015-6639)“串联”起来,就可以提取到高通TrustZone的权限。

在这之后,任何Android媒体服务组件都可以被它所利用。(所幸的是, Google已在Android N中拆分了mediaserver ,以消除Stagefright高危漏洞的影响)

攻击者只需精心打造一个包含了上述俩漏洞的应用,然后诱骗用户去安装它。得逞之后,即可完全控制受害设备。

高通QSEE漏洞影响六成采用了该公司安全平台的Android设备

根据移动安全企业Duo从50万Android手机上收集到的遥测数据,当前采用了高通芯片的Android设备占到了六成,它们运行着受影响的Android版本。

即使Google已经发布了安全补丁,设备也可以通过升级系统版本的方式完全避免,但漏洞的影响仍可能持续很长一段时间。

Google在 今年1月 时写到:“因其可永久攻破本地设备,该问题被标记为‘高危’(Critical)。换言之,受影响的设备要重刷操作系统才能修复”。

为确保安全,我们在此建议大家积极采用反病毒 解决方案 ,或仅安装声誉较高、可信赖的应用程序。

[编译自: Soft Pedia ]

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 高通QSEE漏洞影响六成采用了该公司安全平台的Android设备

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址