A股上市公司传智教育(股票代码 003032)旗下技术交流社区北京昌平校区

 找回密码
 加入黑马

QQ登录

只需一步,快速开始

© 黑妞~ 金牌黑马   /  2014-3-27 09:50  /  1294 人查看  /  1 人回复  /   0 人收藏 转载请遵从CC协议 禁止商业使用本文



  ——安全专家连带发现GooglePlay应用商店存DoS漏洞

  近日安全专家在Google的Android操作系统中发现重大安全漏洞,恶意APP可以让设备进入无限循环重启死循环并抹除所有数据。

  上周安全研究人员IbrahimBalic在博客中指出恶意应用可以利用多个Android版本(2.3、4.2.2、4.3等)的漏洞发起移动DoS攻击。攻击者可以利用Android底层的一个内存泄露bug,将攻击代码隐藏在合法APP中,并在安装完成后才激活。该应用可通过生成一个超长的Android应用程序名称(超过38.7万字节),导致设备进入无限重启死循环。

  趋势科技威胁分析师VeoZhang认为,Android系统的这个漏洞可以被网络犯罪分子用来销毁犯罪证据,在完成对手机的攻击后利用一个时间触发器激活隐藏活动,让用户的设备瞬间“变砖”。这时候只有通过恢复bootloader来硬重启,但这意味着移动设备中所有的数据都将丢失。

  有趣的是,Balic在测试Android漏洞的时候发现恶意应用可以触发对GooglePlay应用商店的DoS攻击。Bouncer是谷歌用来扫描GooglePlay应用商店中恶意软件的云端扫描器。当alic上传了一个包含Android漏洞的概念验证APP到GooglePlay商店中,想看看Bouncer能否被发现,结果Balic发现GooglePlay反馈大量错误信息,经过Google搜索,Balic发现测试期间很多开发者都无法上传应用。随后Balic在Twitter上指出Bouncer本身也非常脆弱。

  Via安全牛

1 个回复

倒序浏览
找到漏洞就好
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 加入黑马