本文目录一览:
黑客:智能手机漏洞多,想做什么做什么
索尔尼克(Mathew Solnik)说,他可以在不惊动用户或手机公司的情况下控制30英尺(约9米)外的一部手机,随后便能将其变成一个“即时话筒”,并浏览手机通讯录及其短信内容。
28岁的索尔尼克现任Accuvant Inc.安全顾问,该公司与世界500强企业和美国政府合作。索尔尼克说,黑客们想做什么就能做什么,如果他们想在他人的手机上安装《愤怒的小鸟》(Angry Birds),他们就能做到。
索尔尼克的黑客攻击能力凸显出网络安全的一个新前沿阵地——智能手机。
智能手机总是与互联网相连并且会不定期更新数据,其安全难以保障。智能手机储存有照片、联系人信息及聊天记录,是一个很有吸引力的攻击目标。
曾在2010年演示过类似攻击技术的魏因曼(Ralf-Philipp Weinmann)说,绝大多数用户没有充分意识到这一变化带来的影响,大量信息被储存在一个总是处于联网状态的设备上。
黑帽安全大会(Black Hat Security Conference)将于下周在拉斯维加斯举行,智能手机将是此次大会的一个重要主题。索尔尼克将在会上粗略展示其攻击技术。乔治亚理工学院(Georgia Institute of Technology)的四名学生将展示入侵苹果(Apple Inc.)最新iPhone手机的新途径。由风险投资公司支持的移动安全公司Bluebox的一名研究员将在会上再度演示移动应用程序如何从使用谷歌(Google Inc.)安卓(Android)操作系统的手机上窃取用户资料。谷歌已经针对这一漏洞发布了补丁。
索尔尼克说,他已经大致想出办法,如何通过几种手机在无线电方面的漏洞把自己伪装成无线运营商。他说,他的入侵手段可以用在当前运行黑莓公司(BlackBerry Ltd.)和谷歌操作系统的手机上,还可以用在苹果公司至少一个较早版本的iPhone上。他没有详细说明,但他表示他的破解手段可以用于很多运行“长期演进技术”(LTE)网络的手机。LET是最新的一种网络技术,而且也被认为是最安全的一种移动技术。
为了与AT&T Inc.和Verizon Communications Inc.等公司拥有的移动网络对话,手机会使用一种被称为基频芯片(baseband chip)的无线电系统。该系统不对用户开放,也就是说,安全专家在评估该系统是否安全的时候会遇到重重困难。
索尔尼克说,为了让手机相信他就是电话公司,他利用了一个相当于假手机信号塔的东西,他说这种东西用不了1,000美元就能买到。他说,这个假手机信号塔只有小型笔记本电脑那么大,可以对30英尺(大约9米)范围以内的手机上载恶意代码。
在某些情形下,他能随后控制该手机的其他部分,包括麦克风、摄像头和其他应用程序。索尔尼克说,他和同事布朗舒(Marc Blanchou)设计这样一种技术只是为了表明存在怎样的可能性。他说这只对某些设备管用,但他没有具体说明是哪些设备。
他们的入侵活动影响到了与高通(Qualcomm Inc.)生产的基频芯片搭配使用的软件。现代智能手机的基频芯片绝大部分都是高通生产的。高通确认 Accuvant曾发现了一个安全漏洞,并说该公司正帮助受影响企业解决相关问题。高通的一名发言人说,索尔尼克发现的漏洞利用了其他公司开发的软件,而且只会对较老版本的系统造成影响。
黑莓称正与Accuvant密切合作。谷歌和苹果称有人就相关研究提请它们注意。
负责谷歌安卓移动操作系统安全性的卢德维格(Adrian Ludwig)表示,公司已经在软件中嵌入安全功能。例如,不同应用之间应当会相互屏蔽,以避免数据窃取。
这一功能也将加大通过单一安全程序——就像个人电脑上的杀毒软件那样——来保护手机的难度。与此同时,消费者尚未意识到对手机采取像电脑上那样的安全防护措施。
卢德维格说,基频系统对于任何手机而言都有着很高风险。
黑客和情报机构一直想办法在用户或网络运营商意识不到的情况下监控其手机。知情人士称,几家美国防务承包商已经投资开发基频破解技术。
两名知情人士称,私募股权投资公司Francisco Partners Management LLC今年早些时候支付1.1亿美元收购以色列初创公司NSO Group。后者意在帮助政府监视个人手机。在LinkedIn的资料中,NSO的现任及前任工程师宣称在谷歌和苹果的手机系统中发现漏洞。 Francisco Partners没有回应置评请求。
知情人士称,今年早些时候黑石集团(Blackstone Group L.P.)收购了Accuvant多数股权,对该公司的估值为2.25亿美元。
安卓手机签名漏洞是什么意思?
1、Android(安卓)操作系统级高危漏洞:黑客可在不破坏APP数字签名的情况下,篡改任何正常手机应用,并进而控制中招手机,实现偷账号、窃隐私、打电话或发短信等任意行为,从而使手机瞬间沦为“肉鸡”。
2、此签名漏洞由国外媒体率先曝光,存在大部分安卓系统的安装校验机制中,会影响99%的安卓手机。利用该漏洞,黑客可在不破坏数字签名的前提下,篡改包括系统应用在内的任何正常应用的APK安装包文件代码,并植入任意恶意代码。
3、何谓数字签名?数字签名可以保证每个应用程序来源于合法的开发商,安卓系统的安全机制要求所安装的程序必须携带数字签名。凭此签名,系统就能判定一个程序的代码或者APK安装包文件是否被动过手脚。被篡改过的安装包因为无法产生与原始安装包相同的签名而无法实现对原应用的覆盖安装升级。这是整个安卓操作系统得以控制风险的一种至关重要的安全校验机制。
4、解决方法:用户应定期更新手机卫士病毒库,及时查杀利用该漏洞的恶意软件。用户应从官方网站、手机助手等正规、安全的渠道下载手机应用,以免下载到被恶意篡改的带毒程序。
黑客如何攻击安卓系统?
一位名为Ibrahim Balic的研究员上周发表文章,称目前攻击者正瞄准Android 2.3、Android 4.2.2和
Android 4.3系统,这三个版本系统的严重漏洞,已被证实会殃及存储的数据和信息,同时不排除其他版本系统同样存在这样一个漏洞,目前还在验证
中。
据悉,黑客可以将攻击代码隐藏到有用或合法的App中,然后当用户使用包含该漏洞的移动设备后,一触即发,利用循环司机这样一个“底层内存崩溃漏洞”发动攻击。
另一位移动安全分析师Veo Zhang坚定地认为,网络犯罪分子可能利用该漏洞严重破坏Android平板电脑和Android智能手机。
在此提醒广大Android用户,倘若当你受到攻击并被迫恢复设备出厂设置时,千万不要允许,因为存储在设备上的所有数据都会被删除。或许你能做的,只有让它“冬眠”了。