Google Project Zero (GPZ)团队近日向三星发出警告，表示后者在Galaxy系列手机中修改内核代码的行为将会暴露更多的安全BUG。GPZ研究员Jann Horn表示，以三星为代表的多家智能手机厂商通过添加下游自定义驱动的方式，直接硬件访问Android的Linux内核会创建更多的漏洞，导致现存于Linux内核的多项安全功能失效。 Horn表示这个问题是在三星Galaxy A50的Android内核中发现的。不过他表示，这种情况在Android手机厂商中非常普遍。也就是说，这些厂商向Linux Kernel中添加未经上游（upstream）内核开发者审核的下游（downstream）代码，增加了与内存损坏有关的安全性错误。 即使这些下游定制旨在增加设备的安全性，它们也会引入安全性错误。谷歌于2019年11月向三星报告了该漏洞，随后在今年2月面向Galaxy系列手机的更新中修复了这个问题。 该错误影响了三星的PROCA（过程验证器）安全子系统。三星在其安全网站上将漏洞SVE-2019-16132描述为中等问题。它允许在运行Android 9和Android 10操作系统的某些Galaxy智能手机上“可能执行任意代码”。 Horn解释说：“Android通过锁定可以访问设备驱动程序的进程（通常是特定于供应商的）来减少此类代码对安全性的影响。”一个例子是，较新的Android手机通过专用的帮助程序来访问硬件，这些帮助程序在Android中统称为硬件抽象层（HAL）。 不过Horn表示，手机厂商通过修改Linux Kernel核心部分的工作方式，这破坏了“锁定攻击面”上做出的努力。Horn建议智能手机制造商使用Linux中已经存在的直接硬件访问功能，而不是更改内核代码。例如，PROCA旨在阻止已获得对内核的读写访问权限的攻击者，但三星需要花费工程时间来阻止攻击者首先获得该访问权限。   （稿源：cnBeta，封面源自网络。）

xHelper 是一种 Android 恶意软件，安全厂商 Malwarebytes 于 2019 年 5 月检测到了它的存在。这是一个隐蔽的恶意软件删除程序，即使在用户恢复出厂设置以后，该恶意软件还是会重新感染，从而给全世界的用户带来了持续困扰。 Malwarebytes 的安全研究人员一直在研究该威胁，在近日发布的一篇博客文章中，该团队表示，尽管仍未弄清楚该恶意软件如何自行重新安装，但他们确实已经发现了有关其操作方式的足够信息，以便永久删除它，并防止 xHelper 在恢复出厂设置后重新安装自身。 据 Malwarebytes 小组透露，xHelper 找到了一种使用 Google Play Store 应用内的进程来触发重新安装操作的方法。借助在设备上创建的特殊目录，xHelper 可以将其 Android 应用程序包（Android application package，APK）隐藏在磁盘上。与应用程序不同，即使在恢复出厂设置后，其目录和文件仍保留在 Android 移动设备上。因此，在删除目录和文件之前，设备将继续受到感染。 Malwarebytes 在对恶意软件的分析中解释道，“Google Play 未感染恶意软件。但是，Google Play 中的某些事件触发了重新感染-可能是某些东西正在存储中。此外，有些东西可能还会将 Google Play 用作烟幕，从而将其伪装为恶意软件的安装来源，而实际上它来自其他地方。” 删除 xHelper 的方法 值得注意的是，以下删除步骤依赖用户安装适用于 Android 的 Malwarebytes 应用程序，不过该应用程序可免费使用。 具体删除步骤如下： 从Google PLAY 安装文件管理器，该文件管理器可以搜索文件和目录。 Amelia 使用了 ASTRO 的 File Manager。 暂时禁用 Google PLAY 以停止重新感染。 转到设置 > 应用 > Google Play 商店 按禁用按钮在 Android 的 Malwarebytes 中运行扫描，以删除 xHelper 和其他恶意软件。 手动卸载可能是困难的，但是要在“应用程序”信息中查找的名称是 fireway，xhelper 和“设置”（仅在显示两个设置应用程序的情况下）。打开文件管理器并搜索以 com.mufc 开头的任何内容。 如果找到，记下最后修改日期。 专业提示：在文件管理器中按日期排序 在 ASTRO 的文件管理器中，您可以在视图设置下按日期排序删除以 com.mufc 开头的所有内容。以及具有相同日期的任何内容（除了核心目录，如 Download）： 重新启用 Google PLAY 转到设置 > 应用 > Google Play 商店 按启用按钮   （稿源：开源中国，封面源自网络。）

包括国际隐私组织、数字权利基金会，DuckDuckGo和电子前沿基金会在内的50多个组织，近日向Alphabet和Google首席执行官Sundar Pichai发出公开信，就Android设备预装软件所存在的漏洞以及它们如何给消费者带来隐私风险表明了自己的立场。 在这封公开信中，这些组织表示所有Android OEM厂商都在其设备上预装了无法删除的应用程序，并且具备厂商定值的特殊权限，因此可以绕过Android的权限模型。 这使的这些预装应用程序可以在没有用户干预的情况下，就能访问麦克风、摄像头、定位以及其他权限。这也导致很多智能手机OEM厂商可以在没有征得用户明确许可的情况下收集用户数据，并用于其他利益。 因此，这些组织希望谷歌对Android预装应用程序（Bloatware）采取一些调整，并希望公司能够为用户提供永久卸载设备上所有预装应用程序的功能。虽然可以在Android设备上禁用某些预加载的应用程序，但它们仍会继续运行某些后台进程，这使得禁用它们成为一个争论的焦点。 公开信中要求确保所有预装应用程序能够和常规应用程序一样罗列在Google Play应用商城中，并进行相同的审查。他们还希望即使设备没有用户登录，也可以通过Google Play更新所有预安装的应用。如果Google检测到OEM试图利用用户的隐私及其数据，则出于隐私和保护用户数据方面的考量拒绝认证该设备。 Google在Android 10中进行了许多针对隐私的更改，但仍有很多地方可以进行完善，帮助用户免受预装应用程序的侵害。   （稿源：cnBeta，封面源自网络。）

今天早些时候，推特（Twitter）面向所有Android端推特用户发送了一封电子邮件，在确认公司已经修复Android端APP存在的严重漏洞之外，有黑客可能通过该漏洞获取了部分用户账户信息。在公司发布的详细博文中，推特表示公司目前并没有发现任何直接证据表明这些数据已经被使用，在暗网或者其他渠道上也没有披露/出售的信息。 但是作为预防措施，推特已经通过电子邮件和移动APP的方式通知用户尽快更改密码，从而确保自己的账户安全。此外该公司还向用户发布了相关说明和APP更新。 在电子邮件中写道： 我们最近修复了存在于Android端Twitter应用中的一个漏洞，该漏洞能够让不良行为者看到非公开帐户信息或控制您的帐户（即发送推文或直接消息）。在修复之前，通过将恶意代码插入Twitter应用程序受限制的存储区域等复杂过程，不良行为者可能已经可以访问来自Twitter应用程序的信息（例如，直接消息，受保护的推文，位置信息）。 我们没有证据表明恶意代码已插入到应用程序中或已利用此漏洞，但是目前我们无法百分百确认，因此我们需要格外的小心。   （稿源：cnBeta，封面源自网络。）

Android系统发布了2019年12月的安全更新，此次解决的漏洞中包含一个可能导致DoS攻击的严重漏洞（CVE-2019-2232）。 12月1日的补丁解决了Framework中的六个漏洞，两个媒体框架漏洞，系统中的七个以及Google Play系统更新中的两个漏洞。 CVE-2019-2232 DoS漏洞将会影响Framework组件，以及Android版本8.0、8.1、9和10。 Google发布安全公告称：“黑客可能利用漏洞伪造特殊消息，进而导致永久拒绝服务。”。 Google还解决了Framework中的5个漏洞，三个特权提升漏洞（CVE-2019-9464，CVE-2019-2217，CVE-2019-2218），一个高风险信息泄露（CVE-2019-2220 ），以及一个中等级别的特权提升错误 （CVE-2019-2221）。 系统中修补的漏洞严重性较高，例如远程执行代码，特权提升和五个信息泄露漏洞。 12月5日的补丁各自解决了Framework和System中的一个高危信息泄露漏洞。它还修复了内核中的三个高风险特权提升漏洞以及高通组件中的十二个高危漏洞。 除此之外，Google还解决了Pixel设备上的一系列安全漏洞。     消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

谷歌为其最新的 Android 10 移动操作系统系列发布了 2019 年 12 月的 Android 安全补丁，以解决一些最关键的安全漏洞。 由2019年12月1日和2019年12月5日安全补丁程序级别组成，2019年12月的Android安全补丁程序解决了Android组件，Android框架，媒体框架，Android系统，内核组件，以及高通的组件，包括封闭源代码的组件。 据悉，此更新中修复的最关键的安全问题会影响 Framework 组件，并可能允许远程攻击者永久拒绝服务。此外，其还修复了一个漏洞，该漏洞可能允许远程攻击者通过使用特制文件在特权进程的上下文中执行任意代码，并且该漏洞可能使具有特权访问权限的本地攻击者能够访问敏感数据。 与此同时，谷歌还发布了 2019 年 12 月的 Pixel Update 公告，以解决各种针对Pixel设备的安全漏洞和问题，以及 2019 年 12 月的 Android 安全公告中描述的安全漏洞。2019 年 12 月的 Pixel 更新公告包含针对内核组件和 Android 系统中发现的总共 8 个漏洞的修复程序。 目前，2019 年 12 月的 Android 安全公告和 2019 年 12 月的 Pixel 更新公告都将向所有受支持的 Pixel 设备推出，包括 Pixel 2，Pixel 2 XL，Pixel 3，Pixel 3 XL，Pixel 3a，Pixel 3a XL，Pixel 4 和 Pixel 4 XL。而在接下来的几周内，它还将可用于 Essential，Samsung，OnePlus 和更多制造商的其他 Android 设备。   （稿源：开源中国，封面源自网络。）

据外媒Neowin报道，谷歌的Android安全奖励计划（Android Security Rewards Program）自2015年开始实施，并已向发现移动操作系统漏洞的安全研究人员支付了数百万美元。如今，该公司正在扩大研究人员可获得的奖励，最引人注目的是一项新的奖励，其价值可能高达150万美元。 当然，这种奖励是针对特别具有挑战性的漏洞利用。谷歌表示将向研究人员支付100万美元，他们可以执行“具有持久性的全链远程代码执行漏洞，从而破坏Pixel设备上的Titan M安全元件”。Titan M芯片是在Pixel 3上首次引入的，根据来自Gartner的数据，该设备被认为具有比其他任何经过测试的设备更高的安全性。如果在Android的“特定开发人员预览版”上执行此漏洞，则赏金可以增加50％，这将使总奖励达到150万美元。 谷歌表示，在过去的12个月中，其总共支付了约150万美元的奖励，其中包括多项奖金。在此期间，最高的奖金达161337美元，参与研究的100多名研究人员的平均奖金是每个发现3800美元。 除了这一非常高的奖励等级之外，谷歌还推出了其他新等级，这些等级的奖励比以往更高。这些漏洞包括涉及数据泄露和锁屏绕过的漏洞利用，奖励最高可达到50万美元。   （稿源：cnBeta,封面源自网络）

在美国国土安全部资助的一项研究中，Kryptowire 在廉价的 Android 智能机上，发现了由预装应用造成的严重安全风险。这些 App 存在潜在的恶意活动，可能秘密录制音频、未经用户许可就变更设置、甚至授予自身新的权限 —— 这显然与 Android 设备制造商和运营商的固件脱不了干系。 类型占比（图自：Kyrptowire，via Cnet） 在新工具的帮助下，Kryptowire 得以在不需要接触手机本体的情况下，扫描固件中存在的漏洞。最终在 29 家制造商的 Android 设备上，查找到了 146 个安全隐患。 在被问及为何特别针对廉价 Android 设备展开软件安全调查时，Kryptowire 首席执行官 Angelos Stavrou 在一封邮件中解释称：这与谷歌对产品的管理态度，有着直接的关系。 Google 可能要求对进入其 Android 生态系统的软件产品进行更彻底的代码分析，并担负起供应商应有的责任。 当前政策制定者应要求该公司将最终用户的信息安全负起责任，而不是放任其置于危险之中。 对此，谷歌亦在一封邮件中称：其感谢合作并以负责任的态度来解决和披露此类问题的研究工作。 （厂商列表） 正如 Kryptowire 研究中发现的那样，预装应用通常为小型、无牌的第三方软件，其被嵌入到了较大的品牌制造商的预装功能中。 然而这类应用很容易构成重要的安全威胁，因为与其它类型的 App 相比，预装应用的权限要大得多、且很难被应用删除。 在 2017 年于拉斯维加斯举办的黑帽网络安全大会上，Kryptowire 披露了上海 Adups Technology 生产的廉价手机中的类似安全威胁。 该手机的预装软件被发现会将用户的设备数据发送到该公司在上海的服务器，而不会提醒这些用户，后续其声称该问题已得到解决。 2018 年的时候，Kryptowire 发布了面向 25 款 Android 入门机型预装固件缺陷的研究，同年谷歌推出了 Test Suite，以部分解决这方面的问题。 （部分漏洞详情） 尽管 Kryptowire 曝光的事情每年都难以避免，不过 Stavrou 认为，谷歌的整体安全策略，还是有所改善的。 他表示：“保护软件供应链是一个非常复杂的问题，谷歌和安全研究界一直在努力解决该问题”。 在今年黑帽安全会议（Black Hat 2019）的演示期间，谷歌安全研究员 Maddie Stone 表示： “Android 设备的常见预装 App 有 100~400 款，从恶意行为者的角度来看，他只需说服一家企业来打包恶意 App，而无需说服成千上万的用户”。     （稿源：cnbeta，封面源自网络。）

今天谷歌发布了2019年11月的Android安全补丁，在修复近期曝光的安全漏洞同时还带来了面向Android 10的BUG修复和后台优化。2019年11月的Android安全补丁共有2019-11-01和2019-11-05两个安全级别，共计修复了38处安全漏洞，涵盖存在于Android Framework, Android Library, Media framework, Android System, Kernel components和Qualcomm等诸多组件中的问题。谷歌敦促用户尽快安装2019年11月的Android安全补丁。 在本次修复的安全漏洞中，影响最严重的一个漏洞可以绕过用户的交互请求获得其手机最高权限，以便于在本地安装任意恶意程序。此外还有一个漏洞允许远程攻击者使用特制的提权文件来执行任意代码；还有能够一个漏洞允许远程攻击者使用特殊的数据传输来获取其他权限。 作为2019年11月Android安全补丁的一部分，谷歌今天还发布了2019年11月的Pixel更新，该更新解决了Linux内核组件，高通组件（包括封闭源组件），LG组件和Android Framework中的其他21个漏洞，适用于Pixel设备的功能，以及对受支持的Pixel手机进行各种改进的功能补丁。 其中Pixel 4和Pixel 4 XL的使用流畅度和相机有所改进。在Pixel 2，Pixel 2 XL，Pixel 3，Pixel 3 XL，Pixel 3a，Pixel 3a XL，Pixel 3上添加了对Xbox蓝牙手柄的支持；修复了Pixel 3，Pixel 3 XL，Pixel 3a和Pixel 3a XL在启动过程中卡住的情况；改善了Pixel 3的底部音箱质量以及改善Pixel 2、Pixel 2 XL，Pixel 3和Pixel 3 XL的Google Assistant热词检测。   （稿源：cnBeta，封面源自网络。）

ZDNet 报道称，近期曝光的一个 Android 漏洞，导致黑客能够利用设备上的近场接触（NFC）功能，向受害者传播植入恶意软件。CVE-2019-2114 漏洞报告指出，问题源自一项鲜为人知的 Android OS 功能，它就是 NFC Beaming 。所有运行 Android 8 Oreo 及以上版本的设备，都会受到影响。 据悉，NFC 广播通过设备内部的 Android OS 服务（Android Beam）来工作。 （截图 via ZDNet） 这项服务允许 Android 设备使用近场通讯（NFC）技术来替代 Wi-Fi 或蓝牙，将图像、文件、视频、甚至应用程序，发送到另一台设备上。 通常情况下，通过 NFC 传输的 APK 安装包会存储在设备上，并在屏幕上显示相关通知，询问用户是否允许安装未知来源的应用程序。 然而今年 1 月，一位名叫 Y. Shafranovich 的安全研究人员发现：在 Android 8（Oreo）或更高版本的系统上通过 NFC 广播来发送应用程序，并不会显示这一提示。 相反，该通知允许用户一键安装应用程序，而不发出任何安全警告。 尽管缺少一个提示，听起来似乎并不那么重要，但它还是成为了 Android 安全模型中的一个重大问题。 庆幸的是，谷歌已在 2019 年 10 月修复了这个影响 Android 设备的 NFC Beaming 漏洞。 “未知来源”的定义，特指通过官方 Play 商店之外安装的任何东西，其默认都被视为不受信任和未经验证。 若用户需要侧载外部应用，必须前往设置菜单，然后手动启用“允许从未知来源安装应用”。 Android 8 Oreo 之前，这项设置并没有什么问题。然而从 Android 8 Oreo 开始，谷歌将这种机制重新设计为基于 App 的设置。 在 CVE-2019-2114 漏洞中，Android Beam 竟然被列入了白名单，获得了与官方 Play 应用商店相同的信任权限。 谷歌表示，Android Beam 服务从来就不是安装应用程序的一种方式，而仅仅是一种在设备之间传输数据的方式。 即便如此，该公司还是在 2019 年 10 月的 Android 安全补丁中，将 Android Beam 踢出了这款移动操作系统中的受信任来源列表。 （图自：LG）   对于数百万仍处于危险之中的 Android 用户，我们在此建议大家尽快升级手机的安全补丁、或者尽量在不使用时关闭 NFC 和 Android Beam 功能。   （稿源：cnBeta，封面源自网络。）