超过十亿的Android设备在高通Snapdragon芯片上有严重漏洞的风险,可以利用任何恶意应用程序获得root权限。
在趋势科技安全专家警告Android用户的一些严重的高通的内核级Snapdragon代码编程错误,如果利用,攻击者可以通过获取访问和完全掌控你的设备。获得访问设备上的关注,因为它授予管理水平能力的攻击者访问权,允许他们将对你拍你的照片,你的设备和窥探你的个人资料包括账户的密码、电子邮件、信息和照片。
公司自己的网站指出,高通Snapdragon soc芯片(系统)功率超过十亿智能设备,包括许多今天的物联网(绝不认输)。因此,这个问题让很多人存在被攻击的风险。尽管谷歌推出更新,私下趋势科技报道的问题现在阻止攻击者获得root访问专门制作的应用程序,用户将不会得到很快的更新。
“鉴于这些设备不再修补或从未收到任何补丁“,趋势吴工程师希望说,“他们本质上没有任何补丁即将的到来是处于一个不安全的状态。”不幸的是,更重要的是关于这一事实一样脆弱的芯片被用于大量的物联网设备,这对安全更新不再一致。这使得黑客有可能获得root访问然后这些连接设备,这是更令人担忧。
“智能手机并不是唯一的问题。”说趋势的诺亚玩家。“高通也出售他们的soc供应商生产设备被认为是互联网的一部分,意味着这些产品只是处于危险之中。”
“许多专家预测如果物联网将是尽可能广泛的需要有某种形式的系统确保这些设备是安全的公共使用。安全更新这些是绝对必要的,这些连接设备的用户需要知道他们处理。”如果安全补丁是不能用于你的设备模型或到达耗费太长时间,在这样的情况下,给歹徒更多的时间利用的安全漏洞来控制你的设备。
然而,一些用户很幸运选择谷歌的手机,让他们直接从这家科技巨头自动补丁,使他们的安全漏洞。手机包括Nexus 5 x,Nexus 6 p,Nexus 6,Nexus 5,Nexus 4,Nexus 7,Nexus 9,Nexus 10。
所有的智能设备使用高通Snapdragon 800系列,运行- version 3.10内核漏洞的影响。
脆弱的代码存在于Android版本。在测试中,研究人员发现关系5、6和6 p,和三星Galaxy注意边缘使用脆弱的版本的特性的代码。
尽管研究人员没有访问每个Android手机和平板电脑测试,脆弱的设备是简单的列表。
由于研究人员没有透露关于缺陷的完整细节,简短的漏洞如下:
1.Qualcomm-related缺陷(cve - 2016 - 0819):漏洞已经被研究人员称为逻辑错误,允许一小部分篡改后的内核内存释放,导致信息泄漏和自由使用发行后Android。
2.缺陷(cve - 2016 - 0805)在高通芯片内核函数get_krait_evtinfo:get_krait_evtinfo函数返回一个数组索引使用的其他内核函数的帮助下精心设计的输入数据,可以生成一个恶意的指数,导致缓冲区溢出。
3.获得root访问:使用这两种缺陷在脆弱的设备,攻击者可以获得设备上的root访问权限。
研究人员将披露到底如何利用的全部细节,在即将到来的bug,安全会议会在2016年5月底在荷兰举行。