,在谷歌Android Partner Vulnerability Program网站的一个新帖子中,一个影响数百万Android设备的安全漏洞被曝光利用这个漏洞,黑客可以将恶意软件植入三星,LG,小米等多家OEM品牌的手机中而且,这些恶意软件可以获得系统级的最高权限
本站了解到,这个安全漏洞的关键是平台证书谷歌员工,恶意软件反向工程师Lukaz seversky首先发现了这个证书问题,他表示,这些证书或签名密钥决定了设备上Android版本的合法性供应商也使用这些证书对应用程序进行签名
尽管Android在安装过程中为每个应用程序分配了一个唯一的用户id,但共享签名密钥的应用程序也可以拥有一个共享的UID,并访问彼此的数据通过这种设计,使用与操作系统本身相同的证书签名的应用程序也可以获得相同的特权
问题的关键在于,一些OEM厂商的Android平台证书被泄露给了错误的人这些证书现在被滥用来签署恶意的应用程序,以至于拥有和Android一样的权限这些应用程序可以直接获得受影响设备上的系统级权限,无需用户交互因此,一旦Android设备被感染,它可以在用户不知情的情况下获取所有数据
郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。
