标签: Android

一指纹识别技术漏洞曝光:可跟踪 Android 和 iOS 设备

北京时间5月23日早间消息,据美国科技媒体ZDNet报道,一项新的设备指纹识别技术可以使用出厂时设置的详细传感器校准信息,跟踪互联网上的Android和iOS设备,任何应用或网站都可以在没有特殊权限的情况下获取这些信息。 这种新技术称为校准指纹识别攻击或SensorID,它通过使用iOS上的陀螺仪和磁力计传感器的校准细节来实现;也可以使用Android设备上的加速度计、陀螺仪和磁力计传感器的校准细节。 根据英国剑桥大学的一个学术团队的说法,SensorID对iOS设备的影响大于对Android设备的影响。原因是苹果喜欢在其工厂生产线上校准iPhone和iPad传感器,但却只有少数Android供应商通过这一过程来提高智能手机传感器的准确性。 研究小组在昨天发表的一份研究报告中说:“我们的方法是通过仔细分析来自传感器的数据,这无需对网站和应用程序提供任何特殊许可即可访问。” “我们的分析推断出制造商嵌入到智能手机固件中的每个设备的工厂校准数据,他们通过这种方法来补偿系统制造失误。”研究人员说。 然后,该校准数据可以当做指纹,产生唯一标识符,广告或分析公司可以使用该标识符来跟踪用户的上网情况。 此外,由于校准传感器指纹在使用应用程序或网站提取时都是相同的,因此该技术还可用于跟踪用户在浏览器和第三方应用程序之间的切换,允许分析公司全面了解用户的设备使用情况。 “提取校准数据通常需要不到一秒的时间,并且不依赖于设备的位置或方向。”研究人员说,“我们还尝试在不同位置和不同温度下测量传感器数据,我们确认这些因素也不会改变SensorID。” 即使在重置出厂设置之后,传感器校准指纹也永远不会改变,从而允许跟踪实体把访问标识符作为不变的唯一IMEI码。 此外,由于无需获取特殊权限,因此用户无法察觉这种类型的跟踪。 发现这种新跟踪载体的三人研究小组表示,他们分别于2018年8月和2018年12月通知了苹果和谷歌。 苹果在今年3月发布iOS 12.2修补了这个问题。但谷歌只告诉研究人员他们会展开调查。之所以出现这种情况,很可能是因为iOS设备比Android智能手机更容易受到这种类型的跟踪。(书聿)   (稿源:新浪科技,封面源自网络。)

2019 年 5 月 Android 安全补丁发布:共计修复 30 处漏洞

谷歌于今天发布了2019年5月的Android安全补丁,修复了最新发现的诸多重要安全漏洞以及各种Android组件中发现的其他问题。本月的Android安全补丁包含2019-05-01和2019-05-05两个安全级别,共计修复了30处漏洞,涉及Android Framework、Media framework、Android System、Kernel以及Nvidia、Broadcom和高通在内的诸多组件。 在本次安全补丁中修复的最重要漏洞会影响Media framework,允许远程攻击者执行任意代码。在安全公告中写道:“修复的这些问题中最严重的就是Media framework中的关键级安全漏洞,能够让远程攻击者使用特制的文件进行提权,并执行任意代码。这个漏洞的危险等级评估是基于该漏洞对受影响设备的影响而决定的。” 2019年5月的Android安全补丁目前已经面向所有处于支持状态的设备提供,包括Google Pixel,Google Pixel XL,Google Pixel 2,Google Pixel 2 XL,Google Pixel 3和Google Pixel 3 XL。Essential Phone用户应该是第一批获得2019年5月Android安全补丁的用户,通过OTA(无线)方式更新安装。 如果用户想要体验更安全,更安全的Android移动操作系统,我们建议所有Android用户尽快将他们的设备更新2019年5月的Android安全补丁。 访问:https://source.android.com/security/bulletin/2019-05-01   (稿源:cnBeta,封面源自网络。)

搜 Wi-Fi 热点 Android 应用数据泄露:涉200多万WiFi密码

一款流行的Android热点(WiFi)搜寻App“WiFi Finder”暴露了200多万个网络的WiFi密码。目前已有数千人下载了这款WiFi Finder应用,它允许用户搜索附近的WiFi网络。但同时,这款应用也允许用户将WiFi密码从自己的设备上传到数据库,供其他人使用。 这个包含了200多万个网络密码的数据库并未受到任何保护,允许任何人访问,并批量下载这些内容。 网络安全研究人员萨亚姆·杰恩(Sanyam Jain)率先发现了这个数据库,并将其发现报告给了TechCrunch。 TechCrunch试图联系开发商,但无济于事。最后,TechCrunch联系上了数据库托管商DigitalOcean,后者在一天内就关闭了该数据库。 据悉,数据库中的每条记录都包含了WiFi网络名称、精确的地理位置、基本服务集标识符(BSSID)和明文存储的网络密码。     (稿源:新浪科技,封面源自网络。)

Google 修补多项 Android 高危漏洞

Google 4 月 1 日发布安全公告,修补了多项 Android 高危漏洞。 包括 Samsung、Pixel 与 LG 等在内的主要安卓厂商已在公告发布至少一个月前就接到问题通报。而在公告发布后的 48 小时内,Google 也会将安全补丁的源代码发布至 Android 开源项目(Android Open Source Project , AOSP)存储库。 其中,存在最高等级风险的是位于媒体框架(media framwork)中的一个严重安全漏洞,它可以使攻击者传送更改后的文件,从而在拥有权限的情况下远程执行任意代码。CVE-2019-2027 和 CVE-2019-2028 都包含在这一媒体框架内。 CVE-2019-2026 所在的 Android 框架中的部分漏洞可以使本地攻击者通过用户交互获得额外权限。其余几项位于运行系统中,其中严重的漏洞可能会使本地恶意应用程序取得权限,执行任意代码。 目前,2019-04-01 或更高版本的安全修补程序级别已解决了相关问题。Google 预计于 4 月 5 日发布第二波安全补丁,以解决所有与之相关的问题。用户可参阅检查并更新 Android 版本,以检查设备的安全补丁级别。     (稿源:开源中国社区,封面源自网络。)

研究表明预装 Android 应用程序会带来巨大的安全和隐私风险

一个月前安全人员在阿尔卡特Android智能手机上发现了预先安装的恶意软件,而谷歌自己的Play Store上发现的应用程序也同样存在其他安全缺陷。最近一项分析预装Android软件的研究发现,许多提供基于Android的第三方操作系统供应商滥用该平台,以发布内建数据收集服务的产品。 该分析由IMDEA网络研究所、马德里卡洛斯二世大学、斯托尼布鲁克斯大学和ICSI进行,涉及200多个设备制造商、1700多个设备和82000个预安装应用程序。 这项研究得出的结论是,无论是通过故意滥用还是不恰当的做法,为智能手机创建自己基于Android的操作系统供应商都倾向于允许第三方访问其软件中的用户数据,此外,还将此类活动向用户隐藏起来。 这项研究表示,由于滥用特权,例如预装恶意软件,或者由于软件工程实践不佳而引入漏洞和危险的后门,这种情况已经威胁到用户隐私甚至安全。 研究发现,智能手机制造商,软件开发商到广告商等“无数演员”都参与其中,并且形成秘密合作关系。Google已就此研究和公布的结果作出回应,声称该报告的方法“无法区分预先安装的系统软件与稍后访问该设备的恶意软件”,并且谷歌已经向合作伙伴提供工具,以防止违反其政策的软件预装到Android智能手机当中。     (稿源:cnBeta,封面源自网络。)  

CheckPoint:Android 恶意广告软件 SimBad 被下载近 1.5 亿次

安全企业 CheckPoint 最新报告称,谷歌 Play 商店中的 200 多款应用,都被恶意广告代码给感染。进一步的分析发现,这可能导致设备在应用外强行显示广告、引导用户到某些网站和应用商店链接、甚至下载新的 App 。在向谷歌提交了恶意软件报告后,官方已经将它们从商店中移除。但根据 Play 商店的统计数据,其已经累积被下载了近 1.5 亿次。 【糟糕的应用软件,在不断地涌入谷歌 Play 商店】 攻击图例(来自:CheckPoint) 据悉,通过隐藏恶意代码,发布者将这些软件伪装成了合法的广告软件。但若你以为它们只会弹广告,那就大错特错了。调查发现,这类广告软件在 Play 商店中广泛存在,涵盖了诸多不同的应用和游戏。 疑似命令与控制服务器的相关代码(来自:CheckPoint) 在被恶意代码感染的流星软件中,模拟类游戏成为了一个重灾区。其中包括重型挖掘机、农业拖拉机、山地巴士、海洋动物 / 卡车运输等稀奇古怪名字的模拟器。 【Check Point 将这类恶意广告软件命名为 SimBad】 隐藏图标代码,删除谈何容易?(图自:CheckPoint) 更可恶的是,该恶意软件还暗藏了隐藏图标的代码,从而加大了用户想要查找和清除它们的难度。作为平台方,谷歌本应肩负起应用审核的责任,但它显然没有苹果 App Store 那样严格和彻底。 在疯狂弹送广告的同时,SimBad 甚至会通过色情广告的形式,引诱用户下载更多的 App 。或者滥用系统权限,劫持设备,将之用于分布式拒绝服务(DDoS)攻击。 后台广告启动代码(图自:CheckPoint) 回想去年,谷歌声称其在检测问题 App 方面取得了“重大进展”,能够在安装前拦截并移除 99% 的有害应用。 但 SimBad 的存在事实,表明这场攻防战永无终点。要让 Android 用户安全访问 Play 商店,谷歌显然还有很多事情要去完善。     (稿源:cnBeta,封面源自网络。)

Android 安全 App 大调查:大多无法有效保护用户

在病毒肆虐的Android平台上,很多消费者可能希望下载和安装防病毒产品来提供更妥善的保护。然而在对250款Android防病毒软件进行测试之后,发现这些所谓的安全APP功能含糊,不够安全甚至完全没有防护能力。独立评测机构AV-Comparatives近期对市场上的防病毒APP进行了大规模测试,发现均无法有效正确的保护用户。 AV-Comparatives测试了2000款恶意APP,结果发现只有不到十分之一的APP能够完全检测出这些恶意程序,而超过三分之二的防病毒APP识别恶意程序数量没有达到30%。AV-Comparatives采用了和因斯布鲁克大学合作自动测试程序,并使用物理Android手机并非模拟器来确保测试结果的精准性。 AV-Comparatives创始人兼首席执行官Andreas Clementi表示:“尽管去年市场上的Android安全应用数量有所增加,但是我们的测试结果发现只有极少比例的应用程序可以提供有效的保护。去年我们也做过相同的测试,发现有三分之一的安全应用检测的恶意程序样本低于30%,而今年这个数字达到了三分之二。Google Play商城应用页面的用户评级可能表明这款安全应用程序是否易于使用,但是普通用户无法确定检测结果是否真实。我们的测试报告可让您了解哪些程序可以保护您的Android设备,而不会出现误报。” 如果您想确保您的设备受到适当保护,那么有23个应用程序可以实现100%检测,14个应用程序管理超过99%。如果你想要了解更多信息,可以访问AV-Comparatives。     (稿源:cnBeta,封面源自网络。)

Android 安全计划帮助修复了 Google Play 中的超过 100 万个问题应用

Google在周四的一篇博客文章中称,已有5年历史的Android安全计划帮助修复了Play商店中超过100万个应用程序。当应用程序提交到Google Play商店时,应用程序安全性改进计划的成员将扫描它们是否存在漏洞。如果没有任何问题,应用程序会在Play商店中显示之前进行进入正常测试阶段。 如果出现问题,团队会将应用程序标记给人员并帮助他们修复它,而他们还将提供诊断和后续步骤。 到目前为止,该计划已帮助超过30万名开发人员修复了超过100万个应用程序。就在去年,该计划帮助超过30000名开发人员修复了超过75000个应用程序。这意味着那些易受攻击的应用程序无法提供给存在安全问题的用户。 该公司在博客文章中写道:“保持Android用户的安全对Google来说非常重要。” “我们知道应用程序安全性通常很棘手,开发人员可能会犯错。我们希望看到这个程序在未来几年内不断发展,帮助全球开发人员构建用户真正信任的应用程序。” 本月早些时候Google表示,Play商店每天会在用户设备上扫描超过500亿个应用,以查找和阻止不良应用。 2017年,该公司表示已从Google Play商店中删除了超过70万个不良应用。在2018年,它拒绝了超过55%的应用程序提交量。 App Security Improvement计划涵盖了Android应用中的各种安全问题。这些可以与特定版本的流行库(例如:CVE-2015-5256)中的安全性问题一样具体,也可以与不安全的TLS / SSL证书验证一样广泛。 通过改进现有检查并启动对更多类安全漏洞的检查,不断改进该计划的功能。在2018年,Google为另外六个安全漏洞类别部署了警告,包括: SQL注入 基于文件的跨站点脚本 跨应用程序脚本 泄露的第三方证书 计划劫持 JavaScript接口注入     (稿源:cnBeta,封面源自网络。)

第一份 Android 生态安全报告出炉:系统越新越安全

Google 公布了史上第一份 Android 生态系统安全报告(Android Ecosystem Security Transparency Report),这是一份季报,内容来自于 Google Play Protect 所检测到的“可能存在危险的应用程序”((Potentially Harmful Applications,PHA),内容显示 Google Play 下载的应用程序比其他渠道安全9倍。 之前,Google 会提供 Android 年度安全报告,其中包含Android 系统安全趋势、Google 提供的 Android 漏洞奖金,以及在 Android 上提供的保护机制等。而此次季度报告主要针对 PHA。 Android 内置的 Google Play Protect 平均每天扫面500亿的应用,当发现可能存在危险的应用时,就会对使用者提出警告,并允许使用者关闭或下载该程序。每季的季度报告都提供三项指标,分别是 PHA 的来源(Google Play 及非 Google Play),各种 Android 版本所包含的 PHA 比率,以及不同国家的 Android 系统的 PHA 比率。 Google 表示,从 Google 下载程序的 Android 设备,只有 0.09% 会识别到 PHA,今年前三季下降到了 0.08%;相比之下,从包含 Google Play 和第三方应用市场下载程序的设备,检测到 PHA 的比率高达 0.82%,不过,今年前三年也出现了下滑,数值到 0.68%。 Google 还表示,越新的 Android 系统检测到 PHA 的比率越低,如,棒棒糖(Lollipop,Android 5.0)检测到 PHA 的比率 > 棉花糖(Marshmallow,Android 6.0)> 牛轧糖(Nougat,Android 7.0)>奥利奥(Oreo, Android 8.0)> 最新的“派”(Pie,Android 9.0)。 Google 解释说,这是因为公司持续加强 Android 平台和 API,加上常规平台和程序更新,也限制了程序对机密信息的访问。此外,包括Nougat,Oreo 和 Pie都更能够承受权限扩展攻击,让过去尝试扩展权限以避免被删除的 PHA 无处遁形。 而在 Android 的前十大市场,至少安装一个 PHA 的装置百分比中,以印度,印尼及美国的比率最高。 完整的安全生态报告看这里。   稿源:开源中国,封面源自网络;

因追踪用户定位数据:谷歌可能在美国遭遇重罚

新浪科技讯 北京时间9月12日早间消息,据《华盛顿邮报》援引知情人士消息称,美国亚利桑那州正在调查谷歌追踪用户地理位置时采取的措施。如果此项调查发现谷歌侵犯用户隐私,该州总检察长马克·布诺维奇(Mark Brnovich)就有可能对谷歌处以高额罚款。 目前布诺维奇的办公室并未确认此事。 美联社上月的一项研究发现,谷歌通过Android设备提供的服务会追踪并存储用户的地理位置,即便用户在隐私设置中关闭地理位置历史也无济于事。 据悉,谷歌应用会存储带有时间戳的定位数据,借此发布精准的地理定位广告。谷歌对美联社表示,他们让用户了解这些定位数据获取工具,并且提供了“强大的控制,让人们可以自行打开或关闭功能,或者随时删除历史。” 布诺维奇可能将此事作为一起消费者保护官司进行起诉,并按照违规次数寻求每次最高1万美元的罚款,这有可能导致谷歌面临巨额处罚。 谷歌发言人对此发表声明称:“地理定位信息帮助我们在人们跟我们的产品互动时提供有用的服务,例如跟本地相关的搜索结果和交通预测。谷歌可以通过很多方法使用地理定位数据来改进用户体验,包括:定位历史、上网和应用活动,以及通过设备层面的定位服务来实现。人们可以随时通过myaccount.google.com删除定位历史或者上网和应用活动。”   稿源:新浪科技,封面源自网络;