青青青久草,四虎永久在线精品,二区免费视频,一级毛片在线直接观看,黄网在线免费观看,美女露全身永久免费网站,色婷婷六月桃花综合影院

IT之家 12 月 3 日消息，谷歌安卓合作伙伴漏洞計(jì)劃（APVI）網(wǎng)站上的一個(gè)新帖子中，曝光了一個(gè)影響數(shù)百萬(wàn)安卓設(shè)備的安全漏洞。黑客利用該漏洞，就能夠在三星、LG、小米等諸多 OEM 廠商品牌手機(jī)中植入惡意軟件。而且這些惡意軟件可以獲得系統(tǒng)級(jí)別的最高權(quán)限。

IT之家了解到，這個(gè)安全漏洞的關(guān)鍵就是平臺(tái)證書(shū)。谷歌員工和惡意軟件逆向工程師盧卡茲?塞維爾斯基（?ukasz Siewierski）率先發(fā)現(xiàn)了這個(gè)證書(shū)問(wèn)題，他表示這些證書(shū)或簽名密鑰決定了設(shè)備上安卓版本的合法性。供應(yīng)商也使用這些證書(shū)來(lái)簽署應(yīng)用程序。

雖然安卓系統(tǒng)在安裝時(shí)為每個(gè)應(yīng)用程序分配了一個(gè)獨(dú)特的用戶(hù) ID（UID），但共享簽名密鑰的應(yīng)用程序也可以有一個(gè)共享的 UID，并可以訪問(wèn)對(duì)方的數(shù)據(jù)。而通過(guò)這種設(shè)計(jì)，與操作系統(tǒng)本身使用相同證書(shū)簽署的應(yīng)用程序也能獲得同樣的特權(quán)。

而問(wèn)題的關(guān)鍵是，部分 OEM 廠商的安卓平臺(tái)證書(shū)泄露給了錯(cuò)誤的人。這些證書(shū)現(xiàn)在被濫用于簽署惡意應(yīng)用程序，使其具有與安卓系統(tǒng)相同的權(quán)限。這些應(yīng)用程序可以在受影響的設(shè)備上可以不和用戶(hù)交互，直接獲得系統(tǒng)級(jí)權(quán)限。因此安卓設(shè)備一旦感染，就能在用戶(hù)不知情的情況下獲取所有數(shù)據(jù)。