|
|
憑證盜竊漏洞中發現幾乎所有的Android設備都有-遠程控制軟件,灰鴿子使用教程
研究人員發現一個嚴重的錯誤在谷歌的Android手機操作系統可以利用數字密鑰泄漏保護設備、金融服務和虛擬專用網絡(vpn)。
密鑰存儲庫中的安全漏洞憑證存儲服務是由IBM研究人員發現九個月前的出版缺陷被推遲由于團隊所說“Android的分散性質和這是一個程式漏洞的事實。”灰鴿子工作室-灰鴿子公司
盡管谷歌多年來致力于加強密鑰存儲庫,使其更安全,不過研究人員發現他們稱之為“經典基于堆棧緩沖區溢出”編程錯誤代碼。
緩沖區是臨時數據存儲領域的應用。除非限定范圍檢查,攻擊者可以利用這些數據并發送超過緩沖區可以適合,溢出。
問題中的數據可以可執行代碼,可以在系統的安全上下文中運行,造成一種妥協或崩潰。
1.jpg (12.95 KB, 下載次數: 561)
下載附件
2014-6-30 09:07 上傳
Android源代碼中的注釋確認密鑰存儲庫憑證存儲緩沖區沒有邊界檢查,“為了保持簡單”。
1 / *密鑰存儲庫是一個安全的存儲鍵值對。在這個實現中,灰鴿子下載
2 *每個文件存儲一個鍵-值對。鍵是編碼在文件名,遠程控制
3 *值加密校驗和。加密密鑰是一個保護-灰鴿子遠控
4 *用戶定義的密碼。為簡單起見,緩沖區總是大于
我們需要5 *的最大空間,所以對緩沖區邊界檢查都省略了。* /
利用密鑰庫緩沖區溢出攻擊者需要誘騙用戶安裝惡意程序反過來需要編碼進一步繞過安全措施在不同難度的Android。在這個階段,尚不清楚是否有在野外利用密鑰存儲庫的脆弱性。
雖然谷歌修補了Keystore缺陷安卓4.4及以上版本的“奇巧”,它仍然是在舊變量的操作系統。
根據谷歌的Android儀表板,截至今年6月4日,舊版本的操作系統占所有設備的86.4%。
谷歌還沒有評論這個問題,或說,如果會有一片舊版本的Android。
閱讀更多:http://www.itnews.com.au/News/388962,credentials-theft-hole-found-in-almost-all-android-devices.aspx # ixzz3652hDaRiResearchers發現一個嚴重的錯誤在谷歌的Android手機操作系統可以利用數字密鑰泄漏保護設備、金融服務和虛擬專用網絡(vpn)。
密鑰存儲庫中的安全漏洞憑證存儲服務是由IBM研究人員發現九個月前的出版缺陷被推遲由于團隊所說“Android的分散性質和這是一個程式漏洞的事實。”灰鴿子使用教程
盡管谷歌多年來致力于加強密鑰存儲庫,使其更安全,不過研究人員發現他們稱之為“經典基于堆棧緩沖區溢出”編程錯誤代碼。
緩沖區是臨時數據存儲領域的應用。除非限定范圍檢查,攻擊者可以利用這些數據并發送超過緩沖區可以適合,溢出。
問題中的數據可以可執行代碼,可以在系統的安全上下文中運行,造成一種妥協或崩潰。
Android源代碼中的注釋確認密鑰存儲庫憑證存儲緩沖區沒有邊界檢查,“為了保持簡單”。
1 / *密鑰存儲庫是一個安全的存儲鍵值對。在這個實現中,灰鴿子教程
2 *每個文件存儲一個鍵-值對。鍵是編碼在文件名,
3 *值加密校驗和。加密密鑰是一個保護
4 *用戶定義的密碼。為簡單起見,緩沖區總是大于
我們需要5 *的最大空間,所以對緩沖區邊界檢查都省略了。* /
利用密鑰庫緩沖區溢出攻擊者需要誘騙用戶安裝惡意程序反過來需要編碼進一步繞過安全措施在不同難度的Android。
在這個階段,尚不清楚是否有在野外利用密鑰存儲庫的脆弱性。
雖然谷歌修補了Keystore缺陷安卓4.4及以上版本的“奇巧”,它仍然是在舊變量的操作系統。
根據谷歌的Android儀表板,截至今年6月4日,舊版本的操作系統占所有設備的86.4%。
谷歌還沒有評論這個問題,或說,如果會有一片舊版本的Android。
|
|
加載中...
發表于 2014-6-30 09:07:47
QQ好友和群
收藏
發表于 2014-6-30 09:07:51