在幕后:Android安全缺陷的解剖
曼谷医院认可使用电子记录
三分之一的保险专业人士预计基于技术的供应商会破坏市场
智能城市技术在数据和传感器之间显示复杂的连接(+视频)
Met Office将天气观察网站移动到Azure
面试:提供关于Stem Careers的事实
企业IOT服务将从此收购中获得升级
Corningworks运行Tech Hackathon,为公众提供Brexit的支持
Adobe为营销人员提供了一种数据 - 科学推动新的云服务
RSA在戴尔技术的未来乐观
verizon购买雅虎的黑客攻击
Bromley签署了两年的利维拉迪
索尼希望恢复数据中心的蓝光驱动器
麻省理工学院的新5原子量子电脑可以使今天的加密过时
HomeServe Labs如何计划使用物联网来撼动保险业务
临时Gov.uk验证老板展示了未来的优先事项
攻击者利用苹果DRM弱点来感染非越狱的IOS设备
最新收购,英特尔可以将体育赛事带到VR耳机
研究公司说,美国去季度智能手机销售额总体下降了6%
Microsoft离开Windows Server支持,不属于Windows 7
阿鲁巴的新产品可改善无线连接
需要机器学习?HPE刚刚推出了一个超过60个API的新服务
第一眼:OneNote提供Evernote用户迁移工具
数字学徒将社交媒体转化为电力安全工具
Chiltern铁路测试蓝牙票务
HPE采用Untanix,思科与超电流系统
CISOS CISOS CISOS CisoS Ciso表示,Puisioris Ciso表示
麻省理工学院的眉毛让用户浏览历史公众
Facebook的开放式网络装备在Equinix击中了大型时间
Nordea Bank加入竞争对手的移动支付平台
工业物联网仍然需要人类和用户界面
面试:Sainsbury Digital Experience Boss Shuns Silos
随着新的Titan Smartwatches销售,惠普可穿戴努力变得严重
谷歌的alphago比韩国去参加球员4-1
Micro Focus购买Devops Shop Serena以540亿美元的交易
印度的计划帮助穷人提高隐私问题
Apple的Liam是一个机器人,即将您的iPhone拆除回收
新通用顶级域名的维护者难以保持滥用检查
Google轴Chrome App Launcher
智能手表从英国内阁禁止,因为EC计划IOT安全标准
IBM购买弹性系统,将安全的大师布鲁斯·施奈尔带到船上
Teentech呼吁孩子们通过词干兴奋
谷歌列出了计划阻止其数据中心的废物进入垃圾填埋场
First Mac Ransomware也有景点加密备份
IR35争端提示Mod Agency的大规模罢工IT承包商
9亿android设备容易受到攻击者的攻击
政府姓名和羞辱部门未能确保电子邮件
三星杀死了Galaxy Note 7
踢出了PC,蓝光驱动器在数据中心恢复
SSP设置为摊牌,保险经纪人在两周的Solihull Datacentre ectown
您的位置:首页 >论坛 > 移动互联 >

在幕后:Android安全缺陷的解剖

2021-06-24 17:44:14 [来源]:

阅读关于Android安全缺陷足以让任何人溃疡。

它是好的;我们一切都觉得在某个时刻。基于每隔几周的头条新闻,难以思考你的手机不断被邪恶的恶魔猴子包围,只是等着你的数据进入他们的寒冷,随向的猴子 - 嗅觉“手。

我不言而喻,这不是“T的情况 - 我避开了自90年代末期以来的邪恶猴子社区的计划 - 但是,Android安全缺陷似乎没有典型的恐慌的理由用户的透视。

我们谈到了大量关于Android恶意软件的现实以及大多数Android病毒叙述往往的耸人听闻。然而,除了理论恶意软件之外,在OS本身上偶尔的真正安全缺陷 - 我们在过去几天中听到了公平金额。那么对此有何交易?

让“s脱落,因为 - 与大多数敏感的科目一样 - 一点知识和逻辑在打击非理性恐惧方面有很长的路要走。

周五晚些时候,谷歌发布了一个关于操作系统中发现的缺陷的“Android安全咨询”。在最简单的术语中,毛刺可以允许特定类型的应用程序来控制设备并进行一些真正的损坏 - 远远超出应该是可能的 - 在非常具体的场景中,大多数用户不太可能遇到。

具体与否,这是一些严肃的东西。但是,像我看到的危言耸听的是,我看到这个错误“打开了Nexus手机以”永久性设备妥协“ - 永久性设备妥协! - 不要告诉整个故事。而且坦率地说,他们画画的图片非常误导。

发现缺陷时实际发生了什么

首先,一些背景:谷歌首次听说过这个最新的缺陷,当时第三方安全公司发现它被剥削的潜力。此时,它不是“TA公知的问题 - 并且没有任何其他人意识到的证据或试图利用它 - 所以工程师开始在修复程序上融入下一个定期的每月纳入下一步安全补丁。

他们也 - 在此过程中的一个至关重要的观点 - 快速而悄悄地证实,谷歌播放商店没有应用程序,绝大多数人都会受到影响。Android“s验证应用系统,它为其出现问题的应用程序,因为它们是从外部源安装的问题,然后继续在手机上监控所有应用程序,并进行了检查和更新。

“这使我们能够更快地保护用户的能力,而不是制作补丁,然后让修补程序分发到所有设备,它保护可能永远不会收到补丁的设备,”谷歌“的Android Security,Adrian Ludwig,解释为我问他关于这个过程的时候。

所有这些步骤都发生在谷歌的舞台上,如果我们的手机甚至都会受到保护。那是一分钟前我提到的重点头条线倾向于错过:即使没有最终的安全补丁到位,实际上,美国的每个Android设备都已经安全地免受伤害。

当事情开始变得真实

尽管如此,让我们继续前进,因为这对这个故事来说更了。快进至3月15日,当一个名为Zimperium的独立公司发现了一个生活,在野外呼吸着应用程序,实际上试图利用毛刺。

“我们发现,我们实验室中的公共可用的生根应用程序遭到了完全更新的Nexus设备,”平台研究和开发Joshua Drake告诉我。

该应用程序不是在播放商店中,这意味着您必须在网站上找到它并在网站上找到它并下载它,以便它影响您。并记住:Android“S验证应用系统已经安全地保护了来自这种威胁的设备。因此,您将不得不选择退出该系统或决定忽略其警告,以便处于任何危险(并且术语“危险”本身相当相对,因为谷歌表示没有观察到实际的恶意活动设想)。

然而,在图片中具有现实威胁,谷歌在自己的补丁克莱斯特下点燃了火灾。该公司已经在修补程序上工作,所以而不是等待下个月的批量发布,工程师继续向厂家释放出来的制造商 - 在16日。我们于18日了解到这一切,该公司发布了公共公报并将补丁作为“最终防御层”。

所以实际上,随着前一层的保护已经到位,那个补丁是否真的很重要?在这样一个像大多数人一样的情况下,可能不是。它只是保护墙上的另一块砖 - 一个额外的层,“LL最终使操作系统本身更安全,但是一般与其他层谷歌已经提供过的一个。

最后一步 - 在透视

当然,在这个过程中还有一个步骤 - 鉴于这一刻,它仍然是待的。这一步是实际采取补丁并将其达到设备,并将其迄今为止是迄今为止的最棘手和最低效率的等式。

Ludwig告诉我,一旦公司完成测试以确保该软件在所有这些产品上都会顺利工作,谷歌将在未来几天开始将补丁从其Nexus设备开始向其Nexus设备滚动。但随着我们在全年看到的,快速到达Nexus设备的更新 - 他们是安全补丁或全方位的操作系统升级 - 往往需要更长的时间才能到达大量的Android手机和平板电脑。一些设备永远不会最终看到它们。

它是Android的开源性质的固有效果,以及制造商可以自由地修改软件的事实,因为它们认为适合。这导致我们在平台上看到的软件中的普遍性 - 这有时可能是一件好事 - 但它也意味着它达到每个唯一的制造商来处理每次更新,确保它适合自己的自定义版本操作系统,然后将其送到其消费者。

一旦您还将运营商添加到等式中,其中许多人往往会在制造商“努力 - 应该是一个令人沮丧的长期过程中,这是往往进行自己的海龟节奏的测试。

Android aren的更新与其他平台上的更新相同

从消费者的立场,它是Android平台的一个令人讨厌的部分 - 没有两种方法。一些制造商比其他厂商可靠地提供更新,但即使在这些情况下,运营商也倾向于搞砸并妨碍任何一致的成功(特别是在美国,那里有很多人仍然购买来自运输工具的电话购买它们解锁)。

虽然一些补丁可能看起来是多余的,但其他修补程序实际上是重要的 - 就像2015年10月的补丁一样,这些补丁被保护的手机免受看似不朽的平手道漏洞利用。理论上可以通过恶意链接或短信激活该开发,因此单独的应用程序扫描系统可以让您保持安全。

(对于上下文而言,尚未成为一个由StageFright影响的实际用户的真实世界案例。很久以前很久以前更新了更多的,谷歌的环聊和信使应用程序,并且Chrome Android浏览器还有自己的不断更新的安全浏览系统,可以防止您在手机上拉动风险网站第一个地方。所以,再次,所有事情都在视角。)

大局

基本上,有两种方法可以思考这个。一个是,如果快速且可靠的持续更新对您来说很重要 - 而且,让他们诚实,他们可能应该是 - 你应该选择一个手机,即已知提供该功能。Google“的Nexus设备是最安全的投注,因为它们直接从谷歌收到软件而没有任何第三方干扰或延误。无论我们谈论安全性还是更广泛的系统级别改进,那就是一个非常宝贵的保证。

其次,正如我们一直在讨论的那样,请记住,Android上的更新真的不是与其他平台上的更新相同。谷歌了解其开源设置创建的挑战,以及为什么采取措施创建直接到达用户的所有其他方法 - 无论是通过我们一直在讨论和通过公司讨论和公司的讨论“持续的Android解构。后者导致了通常越来越多的部分,通常与谷歌全年可以经常和普遍普遍更新的独立应用程序被捆绑在一起。

“如果您有完全控制该系统,我们必须以某种方式进行体贴,”Ludwig解释说。“它与其他生态系统不同,他们唯一的答案是修补的。”

所以收到家庭信息?深吸一口气。需要几分钟的时间来检查您的个人Android安全性,并确保您能够利用您提供的所有工具。也许最重要的是,武装人们的知识,所以你可以智能地解释安全恐慌,并以透视而保持事情。

毕竟,一旦你理解其技巧,即使是一个邪恶的恶魔猴子也是如此可怕。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。