安卓QSEE漏洞影响60%的设备

 

谷歌在今年1月份修复了安卓QSEE(高通安全执行)漏洞,编号为CVE-2015-6639。它被列为安卓Tru...



谷歌在今年1月份修复了安卓QSEE(高通安全执行)漏洞,编号为CVE-2015-6639。它被列为安卓TrustZone中的权限升级漏洞。

安卓TrustZone是安卓内核的一个特殊部分,独立于内核而运行,并且负责处理最为重要和敏感的操作,例如处理加密数据。

安全研究员Gal Beniamini在高通对TrustZone内核的定制化执行中发现了这个漏洞,该内核用于使用高通芯片的安卓智能手机中。

Beniamini表示这个漏洞本身是没有威海的,但是如何攻击者将两个利用结合起来的话就不一样了。攻击者能够利用CVE-2015-6339获取高通TrustZone的根权限。安卓媒体服务器组件中的利用都会造成这样的后果。媒体服务器组件是发现Stagefright漏洞的地方,而且自从9月份推出安卓安全公告服务之后,谷歌几乎是每个月都至少修复一个媒体服务器问题,这样攻击者就不必费尽心思地寻找可运行的利用了。攻击者只需通过这两个利用编制一个恶意app并诱骗用户进行安装,就可以完全控制设备。

从安全公司Duo所收集到的50万台安卓手机的遥测数据来看,60%的设备都在使用高通芯片并且运行着受影响的安卓版本。

即使谷歌为这个问题已发布补丁,但更新安卓设备依然无法由用户和谷歌掌控,而且这些设备在相当长的时间内依然易受攻击。谷歌1月份表示,这个问题的危害程度为紧急,因为本地设备可能会被永久攻陷,这样不得不重刷操作系统。唯一可保证不受该漏洞影响的做法是使用杀毒解决方案或者仅安装来自可信来源的app。


    关注 代码卫士


微信扫一扫关注公众号

0 个评论

要回复文章请先登录注册