来源: 时间:2021-10-07 12:35:02
Google的project Zero在高端三星Galaxy S6 edge智能手机中发现了11个高影响力的安全问题。到目前为止,其中只有8个已修复。 谷歌表示,进行这项工作的原因是为了了解发现原始设备制造商制造的Android手机中的错误和安全漏洞有多容易或多困难。
谷歌表示: “oem是Android安全研究的重要领域,因为它们在所有权限级别上向Android设备引入了额外的 (可能是易受攻击的) 代码,并决定向运营商提供的设备安全更新的频率。”
Google的团队致力于获得对联系人,照片和消息的远程访问权限; 通过在没有权限的情况下从play安装的应用程序获得对其的访问权限; 并在设备上执行代码擦除。
[相关职位]
根据Google的说法,他们发现的错误之一允许将下载的文件编写为系统。blogpost指出: “当文件在下载中解压缩时,ApI不会验证文件路径,并且可以将其写入意外位置。”这个问题已经解决了。
谷歌发现的另一个严重问题是关于三星的电子邮件客户端,在该客户端中,“缺乏身份验证” 可以授予访问电子邮件的非特权应用程序访问权限。Google指出,该应用程序甚至可以将电子邮件转发到另一个帐户。这个问题也已修复。
谷歌在使用 “三星专用图像处理” 时也发现了 “五个内存损坏问题”。根据Google的说法,薄弱的领域是 “设备驱动程序和媒体处理”。图像处理问题尚未解决。攻击者可以执行嵌入在邮件中的javascript的另一个问题仍然没有修补。
谷歌表示,三星承诺尽快解决剩余的问题,并在90天内通过OTA更新解决了严重问题。
在此处阅读Google的完整博客。
观看S6 edge的视频评论
相关推荐
猜你喜欢