您当前位置:首页 > 资讯中心 > 信息安全

Chrome浏览器0day使得数百万安卓设备遭受远程威胁

来自中国奇虎360的安全研究员Guang Gong在较新版本的安卓平台Chrome浏览器中发现一个严重的0day漏洞,它允许攻击者获得受害者手机的全部管理员访问权限,并且该漏洞的利用代码能够工作于所有版本的安卓系统上,即使你的设备运行着较新版本的安卓操作系统。

Chrome浏览器0day使得数百万安卓设备遭受远程威胁

攻击流程

黑客目前可以使用一种新的方式来攻击你的安卓智能手机,并能够远程获得安卓手机的完全控制权,即使你的设备运行着较新版本的安卓操作系统。这个利用代码用到了JavaScript V8引擎中的一个漏洞,该引擎预装在几乎所有(百万级)现代的和更新版本的安卓手机中。

攻击者需要做的仅仅是诱使潜在受害者访问一个网站,该网站中包含有针对Chrome浏览器的恶意利用代码。一旦受害者访问了这个网站,在无需与用户进行任何交互的情况下,恶意程序就会利用Chrome中的漏洞安装任何恶意应用,使得黑客能够远程获取受害者手机的完整控制权。

Chrome浏览器0day使得数百万安卓设备遭受远程威胁

 

漏洞影响

在今年东京举办的2015 PacSec大会中的MobilePwn2Own攻击竞赛中,Gong当场演示了如何利用这个安卓平台Chrome浏览器中存在的漏洞。虽然这个0day漏洞不是驻留在安卓操作系统中,但是它能够影响运行流行操作系统的移动设备。PacSec组织者Dragos Ruiu补充道,这个利用方法在其他移动设备上也能够正常工作,因为它利用的漏洞存在于Chrome浏览器的JavaScript引擎中,这意味着它可能会影响所有安装了谷歌较新Chrome浏览器的的安卓系统。

Ruiu在一篇Google+上的博文中说道:

“在离线状态下,我们也在其他手机上测试了他的利用代码,看起来它也能够在很多其他设备上正常工作,所以我推测这是他投入开发的三个月所带来的成果。”

然而,关于这个利用方法的完整技术细节目前还未公布,但是这位研究人员已经向谷歌报告了该漏洞,谷歌预计将向他支付一笔相当大的漏洞利用赏金。

为了安全考虑,在谷歌发布针对此漏洞的安全补丁之前,建议安卓用户暂时使用其他浏览器。 

作者:Grabsun - 发布时间:2015-11-19 - 点击量:4657
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们