發現大型跨手機 OS 漏洞 駭入成功率達 92%

一批加州大學研究人員日前揭發並證實一種跨手機 OS 平台漏洞,包括 iOS,Android 與 Windows Phone 均受其威脅。而被惡意軟件成為駭入的機率更高達 92%,可謂近年被揭發流動裝置的最大漏洞之一。

一批加州大學研究人員日前揭發並證實一種跨手機 OS 平台漏洞,包括 iOS,Android 與 Windows Phone 均受其威脅。而被惡意軟件成為駭入的機率更高達 92%,可謂近年被揭發流動裝置的最大漏洞之一。

 

漏洞短期內難以根治

近日一批由加州大學工程學院與密西根大學的一批研究人員日前揭發並證實一種存在於流動裝置上的跨平台漏洞。

副教授 Zhiyun Qian 指此漏洞源於多年來大部份人對應用程式特性的錯誤前設:應用程式為獨立個體,並不會互相「溝通」,因此以往的程式設計並無就此方面的保安詳細計劃。

但小組人員經過實驗後發現,應用程式之間將會有「溝通」的情況,若然用戶下載了具有惡意程式碼的檔案,儘管只是一張牆紙,均可以透過 apps 之間的「溝通」而駭入用戶的手機,任意竊取儲存在裝置之上的資料。

雖然研究人員指他們只在 Android 裝置上測試並得出其結論,但其於此漏洞並非出現於單一系統的程式碼之上,而是出現在開發及相關人員的錯誤前設之中,而且上述三個市場上的主流平台均容許所有程式存取裝置上的共用記憶體,因此他們有理由相信同樣的問題都會出現在 Android 以外的流動裝置平台之上。

是次漏洞為近年流動裝置上被揭發的漏洞中較為嚴重的一次,因為漏洞並非只出現於軟件與程式碼層面之上,而是出現於開發思維上,因此 Qian 亦坦言是次揭發的漏洞並不可能於短其內有效地解決,並呼籲用戶不要安裝不信任的 apps,因為此為用戶唯一採取的應對的措施。

Source:CNET