高通公司的处理器惊现4种新型漏洞,影响全球9亿多安卓用户,通过这些漏洞,黑客可以完全控制受影响的手机。
近日,Check Point安全公司的研究人员在拉斯维加斯的DEF CON 24安全会议上对此4种新漏洞进行了披露。
据悉,该4个新漏洞分别为CVE-2016-2503 (发现于高通GPU驱动程序,分析见谷歌的2016年8月Android安全公告);CVE-2016-2504 (高通GPU驱动程序中,分析见谷歌的2016年7月Android安全公告);CVE-2016-2059 (高通内核模块中,4月修复,补丁状态未知)以及CVE-2016-5340 (高通GPU驱动程序中,已修复,补丁状态未知)。
Quadrooter漏洞
这些漏洞被称作“Quadrooter”,影响了全球超过9亿部安卓手机和平板电脑。
黑客可以欺骗用户安装恶意应用,同时并不需要请求任何特别的权限。在应用安装后,黑客可以获得根权限,随后完全控制受影响的Android设备,包括其中的数据和硬件,例如摄像头和麦克风。
此外,这4个漏洞还允许攻击者将应用程序的级别从user-level(用户级别)升级到root-level(root级别),授予攻击者访问任意手机功能的权限。这就意味着,攻击者可以在不与用户进行任何交互的情况下,在手机中下载并安装恶意软件和流氓应用程序。
影响范围广
高通公司的芯片在安卓设备中的市场占有率高达65%,超过9亿台设备受此漏洞影响。
QuadRooter漏洞波及的设备包括:Blackphone1, Blackphone 2,谷歌自主品牌的Nexus 5X、Nexus 6和Nexus 6P,以及HTC One, HTC M9, HTC 10, LG G4, LG G5, LG V10, Moto X, OnePlus One,OnePlus 2, OnePlus 3,以及三星Galaxy S7和S7 Edge,索尼 Xperia Z Ultra都受到这一漏洞的影响。近期发布的黑莓DTEK50尽管被称作“最安全的Android智能手机”,也仍然没有能摆脱这一漏洞。
然而,修复所有设备需要相当长的一段时间,因为高通芯片的固件补丁需要由安卓 OEM供应商集成到其安卓操作系统定制版本,再将其送至移动运营商处,移动运营商决定在合适的时间将其交付最终用户。
据谷歌发言人确认,修复这些漏洞的补丁要到9月份才会全面发布。
Check Point安全公司已经发布了一份关于QuadRooter漏洞的安全报告,以及一个安卓APP以帮助用户诊断他们的手机是否存在安全风险。
- 上一篇:那些强悍的PHP一句话后门
- 下一篇:SQLMAP的注入命令以及使用方法
猜你还喜欢
- 07-25渗透测试培训(第五期)
- 03-20黑客怎样简单入侵别人手机,黑客是如何入侵手机的?
- 06-23看我如何从漏洞公告入手黑掉一台打印机
- 08-08高通曝Quadrooter高危漏洞, 影响全球9亿安卓用户
- 05-07AppStore充值漏洞,王者荣耀等热门游戏可免费充值
- 11-22iPhone锁屏却锁不住个人信息,iOS安全性真的很高吗?
- 11-10代码安全保障技术趋势前瞻
- 06-10揭秘全球最危险的11大网络间谍组织
- 01-2815岁男孩假扮成CIA官员黑掉高度敏感的信息
- 11-16美国大型成人网站遭黑,4.12亿用户数据曝光
- 最新文章
- 随机文章
-
- 渗透测试向导之子域名枚举技术
- TinyShop缓存文件获取WebShell之0day
- ADB配置提权漏洞(CVE-2017-13212)原理与利用分析
- Empire 2.5:PowerShell渗透测试实战指南(上篇)
- Nessus插件“武器化”教程
- 网易云音乐PC客户端加密API逆向解析
- 助考诈骗泛滥,黑客窃取4000万条个人信息成帮凶
- 关于SQL注入漏洞的4个误解
- X Brute Forcer:一款小巧易用的CMS密码爆破工具
- Burpsuit结合SQLMapAPI产生的批量注入插件
- 新的Mirai僵尸网络至少利用了三个全新漏洞
- 独辟蹊径:如何通过URL文件实现DLL劫持
- 利用SESSION登录后台
- 不用cookie 一个盲打储存XSS对“某btc平台”攻城略地
- 如何快速查找网站有效子域名
- 2018年HITB GSEC新加坡安全大会
- 快速进击的挖矿僵尸网络:单日攻击破10万次
- 最新BurpSuite 1.7.32 破解版[注册机]下载【无后门版】
- 我是如何将酒店的路由器强制绑定到我的账号下
- 基因网站MyHeritage遭攻击导致信息泄露影响9200万账户
- 热门文章
-
- 九年专业安全团队承接渗透入侵维护服务
- Stuxnet纪录片-零日 Zero.Days (2016)【中文字幕】
- Emlog黑客站模板“Milw0rm”发布
- SQLMAP的注入命令以及使用方法
- 白帽故事汇:网络安全战士从来不是「男生」的专利
- 编辑器漏洞手册
- web安全之如何全面发现系统后台
- 常见Web源码泄露总结
- 深入理解JAVA反序列化漏洞
- cmseasy前台无需登录直接获取敏感数据的SQL注入(有POC证明)
- 网站后台登陆万能密码
- 黑客怎样简单入侵别人手机,黑客是如何入侵手机的?
- 黑麒麟2016渗透培训系列教程
- 破解emlog收费模板“Begin”
- 那些强悍的PHP一句话后门
- Android平台渗透测试套件zANTI v2.5发布(含详细说明)
- 渗透工具BackTrack与KaliLinux全套视频教程
- Python列为黑客应该学的四种编程语言之一 初学者该怎么学
- CVE-2017-11882漏洞复现和利用
- 恶意程序报告在线查询工具
- 文章标签
-