看了希望不会吓倒你们

marvinteow

根据网易报导

Android惊现最严重漏洞 木马可随意盗取文件

2010-11-25 14:34:23


Android系统在智能手机和平板机市场迅速崛起的同时，安全问题也更加引人注目，近日一个涉及到全版本Android系统的恶意漏洞被公布，而这一漏洞很可能就是Google延迟发布Android 2.3版系统的原因。

信息安全研究人员Thomas Cannon今天将这一漏洞公布于世，借助这个新的漏洞，恶意攻击者可以在引诱用户打开恶意网页，手机内置的浏览器就会下载并执行一个Javascript木马，该木马可以获取SD卡上指定的文件。

Thomas Cannon在几天前已经通知了Google，Android开发团队在20分钟内做出了回应，并表示已经针对该漏洞展示工作，将会在即将公布的Android 2.3版操作系统中进行修复。

但是这样的修复并不能拯救全部的Android设备，因为在2.3版系统发布之后只有少量机型能获取更新，数以千万计的Android设备要么不能更新2.3版系统，要么运行有厂商制作的自定用户界面系统，威胁仍会存在。Google应该做的是针对不同版本系统推出单独的浏览器升级或者修复补丁，才能将恶意网页木马拒之门外。

以下为Thomas Cannon公布的漏洞详情：
在一天晚上对Android系统进行应用程序安全评估的时候，Thomas Cannon发现了一个全版本普遍存在的漏洞，恶意网站将可以获取任何SD卡上存储的文件。

该漏洞的存在有多种因素，具体的实施过程为：
- Android内置浏览器不提示用户静默下载一个文件，比如“payload.html”，改文件会自动下载到 /sdcard/download/payload.html目录

- 通过Javascript运行该文件，并在Android浏览器中显示这个本地文件，运行过程没有任何提示

- 成功打开时候，Javascript将可以阅读任何本地文件内容和其他数据


一旦Javascript获取某个文件内容之后，木马将拥有自动发送的功能和权限，将获取的文件发送至指定位置。

目前该漏洞也存在的限制，攻击者必须指定要盗取的文件的路径和名称，比如要偷取用户的照片，就必须指定照片文件夹和文件名。不过这样的限制并不能困住攻击者，因为大部分的手机都会默认某一类文件的目录和存储名称，攻击者只需要按照系统默认设置手动指定即可。

另外一个限制就是不能像ROOT浏览器那样访问Android系统内的受保护数据，只能在沙箱中运行，文件访问范围为SD卡或者其他少量数据。

目前大家能做的也就是不要用手机访问不明网站，还有拍照一定用相机，千万别用手机。

可怜的用户啊。。。尤其是低端机，很难有机会被救。。。

Coder

对于开源的android来说，发现漏洞是难免不了的是。是好事。
有该知识的任何人，都可以去了解，研究android，找出bug和漏洞，而将它补救。
好比封闭系统。

dicfaiwoon

对于开源的android来说，发现漏洞是难免不了的是。是好事。
有该知识的任何人，都可以去了解，研究android ...
Coder 发表于 4-12-2010 01:14 PM

   啊 我好喜欢你的头像

marvinteow

回复 2# Coder


    封闭的安全性质是开放平台无法了解的。。。

Coder

回复  Coder


    封闭的安全性质是开放平台无法了解的。。。
marvinteow 发表于 4-12-2010 01:27 PM

用了那么多年的windows，我不了解吗？
别跟我说你不知道windows 是封闭的


比起我的ubuntu，不值一题。


话说，你知道什么是ubuntu吗？

mazdarx7

回复 1# marvinteow


   只是盜取SD CARD的資料? 那就由他吧..我的手機SD CARD裡面只有MP3...如果說盜取我的銀行帳號密碼, 盜用手機門號連線....我才擔心... 還是支持ANDROID帶給我無"屈"無束,帶給我有趣有速的快感...這是ANDROID用戶以外不能了解的..

Coder

啊 我好喜欢你的头像
dicfaiwoon 发表于 4-12-2010 01:22 PM

机器人是没有尿的，那是油，在帮苹果加油


苹果加油
gambateh！！

mazdarx7

回复 7# Coder


  蘋果需要加油....+1

dnlelc

出名了,多人用了,就会被骇客攻击和利用,何况是开源的系统,也只能用户自己保护自己了,就算是apple也是一样的,虽然系统封闭,但有心的人还是会一直研究破解,不过相对来说,新生又开放的android就更容易被侵入了.

只有不受欢迎不热门,冷门或没人使用的系统,才不会受到骇客们的青睐吧~
其实这些事情,时而可见~~无论是电脑还是智慧手机,只要跟上网有关的,都有.

曝iPhone新漏洞 加锁也可随意上传文件 (2010-05-28 19:10:09)


曝iPhone新漏洞 加锁也可随意上传文件

　一个新的漏洞刚刚被黑客Bernd Marienfeldt和Jim Herbeck发现，它可以让入侵者自由读取iPhone手机内记载的信息，并且最新固件3.1.3也受影响，用PIN来锁定电话也没有用。
<IMG title="曝iPhone新漏洞 加锁也可随意上传文件" alt="曝iPhone新漏洞 加锁也可随意上传文件" src="http://static9.photo.sina.com.cn/middle/67ae918dg87a5a2a584b8&690" width=500 height=366 real_src="http://static9.photo.sina.com.cn/middle/67ae918dg87a5a2a584b8&690">
如果各位认为，把 iPhone 用 PIN 码上锁，里头的数据就安全了，以下的消息，恐怕是要让大家重新思考一下啰！

根据 Bernd Marienfeldt 的调查，将 iPhone 以 PIN 上锁，在大部分手机遗失的状况下，确实可以稍微避免 iPhone 被拿来盗打的况状发生，不过这并不能保证，拿到手机的有心人士，就完全没办法窃取其中的一些资料，Bernd 跟 Jim Herbeck 共同进行的一项研究发现，他们可以在 Ubuntu Lucid Lynx 底下，来读取一台安装有最新软件、没有越狱（JailBreak）过 iPhone 3GS 里头的所有信息，即使 iPhone 3GS 有受到 PIN 码的保护而无法进行正常的外部操作，也不影响这项操作。

同时他们也认为，他们不仅能够读取内部的数据，未来甚至还有可能进行指令、数据的写入动作，也让失窃的、上锁的 iPhone，可能就此被拿来盗打；而这背后最大的问题，Bernd 认为主要是因为 iPhone 的内容缺乏有力加密来保护。

guohui

旧的新闻，早都看过了。

我觉得楼主皇帝不急太监急，唯恐天下不乱。

还是apple区太闷了来这里捣乱？

dnlelc

根据网易报导

[原创] 看了希望不会吓倒你们
Android惊现最严重漏洞 木马可随意盗取文件

2010-11-25 14:34:23


Android系统在智 ...
marvinteow 发表于 4-12-2010 01:07 PM

楼主...你的发帖...竟然是原创... .....
你一定赚了不少钱吧,把你的破解系统方法发卖给google就可以了.

Sanctuary

還以爲什麽大事，原來……
小事一樁……

vxion

不错，Android紧追iOS的步伐，你有我也有

vxion

楼主...你的发帖...竟然是原创... .....
你一定赚了不少钱吧,把你的破解系统方法发卖给google ...
dnlelc 发表于 4-12-2010 02:42 PM

应该只是标题原创

dnlelc

旧的新闻，早都看过了。

我觉得楼主皇帝不急太监急，唯恐天下不乱。

还是apple区太闷了来这里捣乱？
guohui 发表于 4-12-2010 02:39 PM

    其实连不玩android的人也留意到了,那么玩android的人怎么会没看到......他也是好心通知一声,大家要好好保护大家的私密资料.

mazdarx7

回复 15# dnlelc


   基本上來說,現今時代幾乎沒有隱私了.PC有木馬,ATM有電眼連房間都擔心有針孔.....只要有心人,你做了多好的防護都可能被破的..

marvinteow

各位啊。。。给你们看这个新闻只是一个提醒，你们就跑来开枪。。。算了，你们要如何说都可以，反正OPEN SOURCE过度造成的泛滥是很难想象的。。。

mazdarx7

各位啊。。。给你们看这个新闻只是一个提醒，你们就跑来开枪。。。算了，你们要如何说都可以，反正OPEN SOU ...
marvinteow 发表于 5-12-2010 12:47 PM

  

根据网易报导

可怜的用户啊。。。尤其是低端机，很难有机会被救。。。
marvinteow 发表于 4-12-2010 01:07 PM

提醒?? 還是另有其意?? 人個有志, 如果您認為除了IP4最好,你就繼續沉迷在其中吧. ANDROID適合我們工作需求高群組來說,是一個不錯的選擇. 說到安全, IP4安全真的無人能敵? 還是連被人家HACK破了的新聞也被"封鎖"了?

   

vxion

楼主你好，你的提醒大家会留意的，谢谢你的好意提醒。

（还有，我不太清楚你在哀凤区说你不满机器人的原因，是现实生活中有人气到你？不要管他们啦，可能人家就是特地闹你罢了，而且人家也有喜欢别的东西的权利，做麽你硬要跟人家炮嘴弄得自己酱不爽咧？

再说你是搞软件的（偶然在哀凤区看到的），拒绝你个人不喜欢的平台所给予的机会，对你有什么帮助吗？个人认为，机会在哪里就去哪里，没有必要拒绝加入新的平台。这算是见风使舵，墙头草的行为吗？是的，既然我还没有能力创造时势，那就先顺应时势，多多学习咯。

以上纯粹是个人浅见，共勉之）

超笨无比

从没想过手机会安全, 电脑都会被hack更何况那么脆弱的手机

楼主比较像是幸灾乐祸
你在iphone区发的帖子 "很庆幸自己用IPHONE, 机器人又出事了！！！