三星手机被指不安全,谷歌发现S6 Edge有11处漏洞|11月4日坏消息榜
关注钛媒体每日、每月整理发布的行业坏消息榜,一榜略尽当日当月最具影响的坏消息。
据国外媒体报道,谷歌的Android查漏团队今日宣布在三星高端旗舰智能手机Galaxy S6 Egde所用软件中发现了11个可利用的漏洞,其中包括不少高危级漏洞。
谷歌研究人员发现,三星的代码中的11处安全漏洞,黑客均可以借助这些漏洞制作具有系统特权的文件,窃取用户电子邮件,并在内核中执行代码,同时增加特权和非特权应用。
谷歌的研究团队用了一周的时间来检查Galaxy S6 Edge所用的Android系统,挑战了Android系统中最容易受到攻击的安全边界,目的是看他们是否能够在无需用户参与的情况下远程获取用户的联系人、照片和短信等资料;另外,还利用Google Play安装的一款不需要用户授权的应用去尝试攻击Android系统;最后还对恢复出厂设置但仍然存在安全漏洞的设备进行了攻击。
研究人员发现,三星在Android系统中添加了一个具备系统级权限的流程,用于解压缩从特定网址下载的ZIP文件。谷歌指出:“不幸地是,解锁ZIP文件所用的应用程序接口并没有验证文件通道,因此它可能是在任何地方编写出来的。只要利用攻击其他目录遍历漏洞所用的技术,就能通过Dalvik高速缓存攻破这个漏洞。”
三星的电子邮件编码中也存在一个漏洞,该漏洞会导致Android系统在处理Android策略时不进行认证,这是一个允许各种应用相互传递命令的操作系统级功能。但是由于没有认证过程,三星的电子邮件软件就会被未获相应权限的应用钻了空子,从而劫持用户的电子邮件并将邮件发往其他帐户。
三星的图形处理代码中也被发现存在5个可被利用的漏洞,其中有2个漏洞会允许攻击者在利用三星Gallery应用打开某个原始图片文件时提升访问权限,而另外3个漏洞则只要用户下载图片就会被触发。
三星和谷歌一直在努力修补已经被发现的最严重的漏洞,但是谷歌只用了一周时间就发现如此多的高危级漏洞也证明了安全工作的困难性和严重性,因为S6 Edge可是三星这个最大的Android受让方推出的最高端的手机。
Android的安全问题从2011年起就变得越来越复杂了,当时北卡州大学的研究员们指出,由于HTC、三星、摩托罗拉甚至谷歌自己的Nexus手机在设备中添加的其他软件存在漏洞,结果导致Android基于批准的安全系统可以被轻易绕过。
今日坏消息榜单 NO.2-NO.7
电脑安全公司FireEye周二表示,该公司发现仍有210家美国企业使用被XcodeGhost恶意软件感染的iOS设备。上月有超过4000款应用被发现使用了冒牌Xcode开发工具,也就是所谓的XcodeGhost。这款恶意软件会在应用中增加隐藏代码,从而收集设备上的身份信息,甚至打开网址。业内人士怀疑,一些应用开发者可能已经下载了冒牌Xcode,而百度云里也曾经托管了这一文件,但随后被删除。苹果已经从App Store中移除了被感染的应用,但FireEye的最新报告显示,还有很多应用仍在使用感染了这个恶意软件的应用。FireEye表示,这些仍在美国企业中使用的恶意应用依然在与XcodeGhost的服务器展开数据通讯,这些应用包括旧版微信和网易云音乐等。由于这些数据通讯均未加密,可能被其他黑客劫持,并发起攻击,因此存在巨大的安全隐患。
微软大砍OneDrive容量遭吐槽:你们信用已破产
微软本周宣布,OneDrive将停止提供无限量云存储服务。随后许多用户对微软的决定提出质疑,称微软的行为是一种背叛,该公司不应该为少数人的不当行为而惩罚所有用户。在微软宣布这一消息的官方博文下方,一名自称John的网友评论称:“对于少数滥用你们系统,存放非法内容的用户,为何惩罚所有普通用户?”这条评论随后吸引了超过600次的回应。另一名名为雅尔诺·伯格(Jarno Burger)的用户则对目前1TB的存储上限感到不满。他表示:“我从事视频渲染工作,我需要最高3TB的在线存储空间。这对我来说是一个非常糟糕的消息。”本周一,微软宣布对OneDrive的政策进行调整。微软表示,这是由于此前的无限量存储服务遭到了部分用户的滥用。Moor Insights&Strategy分析师帕特里克·莫尔海德(Patrick Moorhead)表示:“关于这一问题,微软走了回头路。这不符合微软及其品牌的形象。”
苹果和政府官员就如何处理隐私和加密问题展开了长达数月的沟通,而有望于周三在英国出台的新立法议案可能令苹果更加难以坚持立场。这一问题的根源在于苹果允许iPhone用户加密数据,甚至连苹果自己都无法破解,但政府官员却希望在某些情况下破解这些信息,从而为执法部门提供帮助。iMessage和FaceTime等服务也进行了端对端加密。据英国《每日电讯报》报道,周三出台的《调查权力法案》( Investigatory Powers Bill)将会要求苹果和其他公司保留加密智能手机和服务的密钥,从而在政府部门获得授权时为其提供密钥。倘若这项议案最终成为法律,苹果就将被迫停止对iPhone、iMessage和FaceTime的加密,至少该公司自己将会保留访问权。苹果曾经使用强力加密算法,并积极推广这项功能。虽然有政府官员认为苹果此举为犯罪分子创造了庇护天堂,但该公司却坚决反对这一说法。
春兰空调陷亏损 主业销售暴跌将被出局
春兰股份公布了2015年第三季度报告,在巨头们的空调价格战厮杀下,春兰没能守住盈利防线,也加入了亏损家电企业的阵列。财报显示,春兰股份前三季度录得营业收入约1.86亿元人民币,同比去年同期暴跌52.23%,录得归属于上市公司股东净利润亏损846.4万元,去年为盈利1229.6万元,同比暴跌168.84%。在第三季度财报中,春兰股份重要事项栏频繁出现“主要是销售减少”字样。比如应收账款、营业收入、货币资金等。虽然在最新报告中,春兰股份没有披露空调业务概况,但是从2015年半年报中,我们也可以推测到春兰亏损的关键源头,是公司的核心主营业务:空调销售。
工信部:35款不良手机软件上“黑榜”
今日公布的电信服务质量通告显示,三季度工信部检测发现不良手机应用软件35款,涉及违规收集用户信息、恶意 “吸费”、强行捆绑推广其他无关应用软件等问题。工信部在微博上发布一系列上黑榜的应用软件,其中包括百度手机助手中的“车友信”、“美白相机”等手机应用软件。
网购床上用品过半不合格 双11在即剁手党管住手
最新国家质检总局就公布了一份专项抽查:154批次床上用品仅74批次合格。标称为“恒源祥”、“柯思曼”、“北极绒”等一线大品牌也纷纷因各种问题“落马”。此次专项抽查,涉及135家企业生产的154批次产品,天猫、京东商城、1号店、当当网、亚马逊等5家电子商务平台企业均没有放过。最后的检验结果是62家企业生产的74批次产品合格,合格率48.1%。国家质检总局公布的资料显示,蚕丝被质量问题主要有三个方面:一是纤维含量。本次抽查发现52批次产品标注的纤维含量与实际检测结果不符。二是pH值。本次抽查发现16批次产品的pH值项目不合格——这是此次抽查发现的主要安全性问题。三是填充物。抽查发现39批次产品的填充物质量偏差率不合格。【张娜/钛媒实习编辑】