中文字幕视频在线看,亚洲精品无码久久久久av老牛,亚洲精品无码av片,亚洲av影院一区二区三区,亚洲国产精品成人久久久

三星云服務(wù)查找手機(jī)

尊云-小張 ? 2024 年 4 月 25 日 09:01 ? 行業(yè)動(dòng)態(tài) ? 閱讀 116

最新研究報(bào)告稱(chēng)：預(yù)裝在三星手機(jī)上的安卓應(yīng)用軟件“查找我的手機(jī)”，存在一系列的安全漏洞，可能會(huì)讓遠(yuǎn)程攻擊者跟蹤受害者的實(shí)時(shí)位置、監(jiān)控電話(huà)和消息，甚至刪除手機(jī)上存儲(chǔ)的數(shù)據(jù)。

漏洞報(bào)告

葡萄牙的網(wǎng)絡(luò)安全服務(wù)提供商”Char49“在上周的defcon大會(huì)上透露了對(duì)三星的”查找手機(jī)“ 安卓應(yīng)用程序的調(diào)查結(jié)果。

defcon大會(huì)：比肩blackhat的黑客大會(huì)，不過(guò)defcon主辦黑客比賽。由于疫情，今年8月7日到9日在線上舉辦。

“此漏洞在安裝后很容易被利用，對(duì)用戶(hù)造成嚴(yán)重的影響，并可能造成毀滅性影響：鎖定電話(huà)的永久拒絕服務(wù)，恢復(fù)出廠設(shè)置（包括SD卡）時(shí)完全丟失數(shù)據(jù)，通過(guò)IMEI和位置跟蹤，通話(huà)和短信日志訪問(wèn)獲取隱私信息?！盋har49的PedroUmbelino在技術(shù)分析中說(shuō)。

這些漏洞存在于未修補(bǔ)的三星Galaxy S7、S8和S9+設(shè)備上，三星在將該漏洞標(biāo)記為“高危漏洞”后便解決了。

三星的“查找手機(jī)”服務(wù)允許三星設(shè)備的所有者遠(yuǎn)程定位和鎖定他們的智能手機(jī)或平板電腦，將設(shè)備上存儲(chǔ)的數(shù)據(jù)備份到三星云服務(wù)上，刪除本地?cái)?shù)據(jù)，并阻止使用三星支付。

根據(jù)Char49的說(shuō)法，該應(yīng)用程序中有四個(gè)不同的漏洞，可能被安裝在目標(biāo)設(shè)備上的惡意應(yīng)用程序利用，形成一個(gè)中間人攻擊，從后端服務(wù)器劫持通信并窺探受害者。

漏洞成因

“查找手機(jī)”應(yīng)用程序會(huì)檢查設(shè)備SD卡的“/mnt/sdcard/fmm.prop”來(lái)加載一個(gè)URL“mg.URL”，這就允許流氓應(yīng)用程序創(chuàng)建此文件，然后使用該文件潛在的劫持與服務(wù)器的通信。

Umbelino說(shuō)：“通過(guò)將MG URL指向攻擊者控制的服務(wù)器并強(qiáng)制注冊(cè)，攻擊者可以獲得用戶(hù)的許多詳細(xì)信息：通過(guò)IP地址、IMEI、設(shè)備品牌、API級(jí)別、備份應(yīng)用程序和其他一些信息進(jìn)行粗略定位?！?/p>

為了實(shí)現(xiàn)定位，安裝在設(shè)備上的惡意應(yīng)用程序利用一個(gè)漏洞攻擊鏈，利用兩個(gè)“廣播接收器”，將發(fā)送到三星服務(wù)器的命令從“查找手機(jī)”應(yīng)用程序重定向到另一個(gè)受攻擊者控制的服務(wù)器，并執(zhí)行惡意命令。

廣播接收器：Android 廣播接收器，用于響應(yīng)來(lái)自其他應(yīng)用程序或者系統(tǒng)的廣播消息。

惡意服務(wù)器也會(huì)將請(qǐng)求轉(zhuǎn)發(fā)給合法服務(wù)器并檢索響應(yīng)，但不會(huì)在注入惡意服務(wù)器的命令之前進(jìn)行。

這樣一來(lái)，攻擊可以讓黑客追蹤設(shè)備的位置，抓取通話(huà)數(shù)據(jù)和短信進(jìn)行間諜活動(dòng)，鎖定手機(jī)索要贖金，并通過(guò)恢復(fù)出廠設(shè)置來(lái)清除所有數(shù)據(jù)。

Umbelino最后提到：“查找手機(jī)這個(gè)應(yīng)用程序不應(yīng)該有任意組件公開(kāi)可用，并且處于導(dǎo)出狀態(tài)。如果有需要，例如，其他包需要調(diào)用這些組件，則應(yīng)使用適當(dāng)?shù)臋?quán)限保護(hù)它們，公開(kāi)的文件測(cè)試代碼也應(yīng)該被消除?！?/p>

文章來(lái)源：安全圈

版權(quán)聲明：本文內(nèi)容由互聯(lián)網(wǎng)用戶(hù)自發(fā)貢獻(xiàn)，該文觀點(diǎn)僅代表作者本人。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容，請(qǐng)發(fā)送郵件至2705686032@qq.com 舉報(bào)，一經(jīng)查實(shí)，本站將立刻刪除。原文轉(zhuǎn)載：原文出處：

贊 (0)