电子技术论坛

 找回密码
 快速注册

QQ登录

只需一步,快速开始

搜索
下载方法|用单线程|避免多扣帖子规范|求助必读|发帖建议积分策略|勋章介绍|新人必读获取金币|推广论坛|出售帖子基本礼节|致会员信|版规总则
禁涉政治|反对低俗|举报专帖征集相片|留下足迹|推荐精华上传附件|制作分卷|使用网盘禁发qq群|恶意灌水|纯表情帖加入团队|监督机制|安全上网
查看: 8077|回复: 13

[通讯] 使用Android智能手机的朋友注意了【一张图片能导致手机变砖】

[复制链接]
发表于 2016-9-10 07:26:39 | 显示全部楼层 |阅读模式

注册家电维修技术论坛,与同行畅聊维修技术,享更多技术论坛功能。

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
    谷歌前天发布了最新的Android安全公告(Android Security Bulletin),针对前一阵曝出的一系列漏洞做了补丁修复,比如说影响到9亿台设备、针对高通芯片的Quadrooter漏洞——这也是本次Android补丁修复漏洞的重点。
    不过来自Forbes的报道,实际上这次谷歌还修复了一个鲜为人知的漏洞,看起来也是相当危险:只要有人给你发一张照片,Android手机就可能被入侵——在某些情况下,用户甚至不需要点击这张照片,手机自动对照片进行解析时,黑客就能远程控制Android设备,或者令设备变砖。
Kj2J3MLZSJBwXjTb2s2wj7.jpg.thumb.jpg
点开图片 手机就变砖
    该漏洞编号为CVE-2016-3862,实际上和先前著名的Stagefright(只需要一条彩信就能控制受害者的手机)有些类似,或者说和前一阵苹果系统中的CVE-2016-4631漏洞更像。不过这次的漏洞与图片的EXIF信息有关:数字图片除了自身呈现画面的数据之外,还附带有EXIF数据——比如这张照片是用什么设备拍的,照片拍摄所在地理位置、拍摄时光圈、快门分别是多少等等,这些信息就属于EXIF数据部分。
    Android系统中读写JPG图片EXIF扩展信息的API为ExifInterface——在应用解析图片信息的过程中,该漏洞就能被恶意代码利用。任何使用了ExifInterface类的Android应用都可能触发此漏洞。来自安全公司SentinelOne的Strazzere表示,如Gchat、Gmail这些应用,用户在这些应用中打开图片文件,就可能导致设备崩溃,甚至“远程代码执行”,并在用户毫无察觉的情况下在系统中植入恶意程序,并进行全面控制。
    该漏洞不需要引起用户太多的注意就能触发,比如应用只需要以特定的方式来加载图片。触发的方式非常简单,包括接收一条消息或者电子邮件。只要应用对照片进行解析(这个过程是系统自动进行的),就会导致问题发生。
    Forbes的这篇文章中并没有详述该漏洞的技术细节,我们从Android安全公告中看到,谷歌对这个漏洞的归类为“Mediaserver中的远程代码执行漏洞”,漏洞威胁等级为Critical紧急级别。漏洞描述如下:
    “Mediaserver中的远程代码执行漏洞,攻击者通过专门构建的文件,在媒体文件和数据处理过程中,可致内存崩溃(corruption)。鉴于该问题可导致在Mediaserver进程中进行远程代码执行,故将漏洞分级为紧急级别。”
    谷歌这次发布的Android系统9月补丁针对Android 4.4.4及更高版本的系统(已经升级Android 7.0的设备似乎是不受影响的),不过据说更老版本的系统也存在这一问题,只不过谷歌已不再支持早期版本的系统更新。Strazzere特别针对Android 4.2以及部分亚马逊Kindle平板设备进行了试验,发现也都存在此问题。
    所以Strazzere的建议是,如果你的Android手机过老,已经不能再进行系统升级了,那么只要你还在意安全性,就请换一部手机吧。运行Android 4.4.4系统以上版本的Nexus设备今天应该就会收到一波更新,其他OEM厂商的Android设备就需要等厂商和运营商的补丁推送计划了。
发表于 2016-9-10 07:41:56 | 显示全部楼层
这世界太可怕了,威胁无处不在,看来我的手机要“升级”.
发表于 2016-9-10 08:15:07 | 显示全部楼层
感觉好怕怕!!
发表于 2016-9-10 08:40:23 | 显示全部楼层
可是手机怎样升级啊,厂家又没发升级包,我的手机root都不行
发表于 2016-9-10 08:49:14 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2016-9-10 08:51:41 | 显示全部楼层
还是棒棒机安逸,声音大,待机时间长,不死机,管你什么漏洞!
发表于 2016-9-10 09:36:11 | 显示全部楼层
大部分老手机厂家都不更新了。
发表于 2016-9-10 09:50:23 | 显示全部楼层
全球上门维修 发表于 2016-9-10 08:49
本人手机非常干净卸载了所有系统自带软件,就一个微信而已,还好微信厚道,从不后台自动运行。

哥你是怎么做到的
发表于 2016-9-10 10:09:31 | 显示全部楼层
安卓免费用了这么多年知足了,如果是国内开发的软件或系统,里面不知加多少广告了,如墨迹天气,360,腾讯等
发表于 2016-9-10 10:38:09 | 显示全部楼层
谢谢楼主提醒,但现在科技发达,魚目混珠,防不胜防!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|家电维修技术论坛 ( 鄂ICP备09003585号-2 )

GMT+8, 2024-11-22 02:49 , Processed in 0.044331 second(s), 5 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

CopyRight © 电子技术论坛
电子邮箱:8794149@qq.com | 联系 QQ:3081868839 | 官方网址:www.dzdu.com

Qiji. All Rights Reserved


服务条款 | 站长声明

Wuhan Qiji Technology Co., Ltd.武汉奇迹科技有限公司版权所有


鄂ICP备09003585号-2鄂公网安备42010602000420号

快速回复 返回顶部 返回列表