导读 包括三星在内的数百万Android设备似乎容易受到重大安全漏洞的攻击。这与其说是一个漏洞,不如说是依赖Android操作系统的设备制造商使用的关
包括三星在内的数百万Android设备似乎容易受到重大安全漏洞的攻击。这与其说是一个漏洞,不如说是依赖Android操作系统的设备制造商使用的关键组件的实际泄漏。
更具体地说,包括LG,三星和其他在内的Android OEM平台签名密钥已被泄露。签名密钥可确保设备上的 Android 版本合法。此外,签名密钥可供单个应用使用,这意味着 Android 将信任与操作系统共享相同签名密钥的任何应用。(via@maldr0id/9to5谷歌)
从理论上讲,这可能允许恶意方将恶意软件附加到受信任的应用程序并被忽视。如果新的应用程序版本包含恶意软件,则无关紧要。只要应用程序使用与操作系统相同的密钥进行签名,它就会被视为受信任的更新,无论它来自Galaxy Store,Play商店还是其他来源。也就是说,在理论上。谷歌声称没有此类易受攻击的应用程序进入Play商店,这是个好消息。
三星已经采取措施将风险降至最低
除三星外,受此安全漏洞影响的其他移动品牌包括LG,联发科,szroco,Revoview,可能还有其他品牌。
该问题最初是在 2022 年 5 月报告的,值得庆幸的是,谷歌表示三星(和其他制造商)已“采取补救措施以尽量减少对用户的影响”。该声明有点模糊,目前尚不清楚哪些应用程序仍然容易受到此安全问题的影响,或者在多大程度上容易受到攻击。但是已经采取措施将感染恶意软件的风险降至最低。值得庆幸的是,谷歌还表示,在Play商店提供的任何应用程序中都没有发现该漏洞,并确保Play Protect针对这些漏洞提供了一层安全保护。
无论如何,避免此安全泄漏引起的问题的最佳方法是暂时不要从第三方网站旁加载应用程序。
标签:
版权声明:本文由用户上传,如有侵权请联系删除!