锐嘉科的Android固件遭爆有中间人攻击漏洞

2016-11-24 18:17:59来源: ithome 关键字:Android

研究人员指出由中国的锐嘉科所打造的Android韧体中含有一个特权的二进位程式,可用来检查OTA更新,由于OTA通讯并未加密,使骇客能伺机取得根权限并执行任意程式,估计55款型号280万Android装置受影响。

上周资安业者Kryptowire才踢爆中国上海广升信息技术(Shanghai Adups Technology)的韧体空中(FOTA)更新系统含有可定期传递使用者资讯的后门之后,AnubisNetworks 本周再度揭露来自另一中国业者锐嘉科(Ragentek Group)的Android韧体含有中间人攻击(MITM)漏洞,影响约280万台Android装置。

根据卡内基美隆大学CERT的说明,由锐嘉科打造的Android韧体中含有一个特权二进位程式,可用来检查空中(OTA)更新,此外,该韧体内还有许多用以隐藏执行该二进位程式的技术,类似rootkit行径。由于此一OTA的通讯并未加密,将允许骇客取得根权限并执行任意程式。

AnubisNetworks则说,该韧体被应用在许多低价的Android装置上,大约影响55种型号的280万个装置,涉及Blu Products(26.3%)、Infimi(8.2%)、Doogee(7.5%)、Leagoo(4.0%)、与Xolo(3.8%)等品牌,其中,Blu Products已是第二次被点名,这家美国手机制造商先前即是上海广升Android韧体的受害者。(下图,来源:AnubisNetworks )



AnubisNetworks向Best Buy购得了采用锐嘉科韧体的Blu Studio G,成功验证了该漏洞的存在。目前Blu Products已修补了该漏洞,而CERT则建议Android用户避免使用公开或不可靠的网路环境。

关键字:Android

编辑:北极风 引用地址:http://www.eeworld.com.cn/xfdz/article_2016112458546.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:VR将继续保持“热度”…
下一篇:最后一页

论坛活动 E手掌握
微信扫一扫加关注
论坛活动 E手掌握
芯片资讯 锐利解读
微信扫一扫加关注
芯片资讯 锐利解读
推荐阅读
全部
Android

小广播

独家专题更多

富士通铁电随机存储器FRAM主题展馆
富士通铁电随机存储器FRAM主题展馆
馆内包含了 纵览FRAM、独立FRAM存储器专区、FRAM内置LSI专区三大部分内容。 
走,跟Molex一起去看《中国电子消费品趋势》!
走,跟Molex一起去看《中国电子消费品趋势》!
 
带你走进LED王国——Microchip LED应用专题
带你走进LED王国——Microchip LED应用专题
 
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2016 EEWORLD.com.cn, Inc. All rights reserved