亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

IBM旗下X-Force應(yīng)用安全研究團(tuán)隊(duì)的研究人員，在Android和某些熱門應(yīng)用的SDK上發(fā)現(xiàn)了一套漏洞。其中最糟糕的竟然可以讓一個(gè)看似無害的應(yīng)用在設(shè)備上運(yùn)行任意代碼，并且影響全球55%的Android設(shè)備（版本4.3及以上）。該團(tuán)隊(duì)在視頻中進(jìn)行了概念驗(yàn)證，并且成功替換了設(shè)備上的Facebook app。

據(jù)悉，Google和SDK的開發(fā)商均以提供了軟件補(bǔ)丁，但考慮到非Nexus設(shè)備的更新推送工作必須通過原始設(shè)備制造商(OEM)或運(yùn)營(yíng)商進(jìn)行，所以當(dāng)前絕大多數(shù)用戶仍面臨相當(dāng)大的風(fēng)險(xiǎn)。

研究人員表示，目前暫未在外界看到任何利用該漏洞的情況，但情況很可能在任何時(shí)刻發(fā)生改變。

該漏洞主要?dú)w咎于Android在進(jìn)程間通訊（IPC）時(shí)的薄弱代碼，更具體點(diǎn)說就是OpenSSLX509Certificate類。

攻擊者可以在無需特殊權(quán)限的情況下，利用該漏洞將惡意代碼諸如到IPC請(qǐng)求隊(duì)列中，如此一來，該應(yīng)用就能夠獲得系統(tǒng)級(jí)的權(quán)限。

研究人員在某些應(yīng)用的SDK中也發(fā)現(xiàn)了類似漏洞，在調(diào)查的37701款app中，有許多都涉及這方面，甚至有些應(yīng)用依賴于高達(dá)6個(gè)的風(fēng)險(xiǎn)SDK。

通過一款名叫SWIG的低級(jí)別工具包，攻擊者可以很輕松地向目標(biāo)注入代碼。在這種情況下，惡意應(yīng)用可以假借某個(gè)脆弱的app之手獲取相同的權(quán)限，甚至完全訪問該應(yīng)用的程序、數(shù)據(jù)和功能。

有關(guān)這些漏洞的詳情，已經(jīng)發(fā)表在IBM Security的研究論文上

www.usenix.org/system/files/conference/woot15/woot15-paper-peles.pdf