三星上半年度旗艦機種的 Galaxy S6 Edge,被 Google 旗下的網路安全研究機構 Project Zero 揭露共有 11 個高安全性的漏洞,難道好不容易回到手機銷售首位的 Samsung,又要面臨另一個危機了嗎?
(圖/取自網路)
Google選定三星的旗艦機種Galaxy S6 Edge,並由北美和歐洲的Project Zero團隊進行為期一周的競賽,最後找出11項漏洞。Google的Project Zero小組公佈在三星最新手機Galaxy S6 Edge中發現到的11項高風險(high-impact)安全漏洞,這些問題主要集中在週邊設備驅動、影像處理上頭,可以讓惡意攻擊方透過三星內建的郵件 APP 來獲得手機內部的重要資料。Project Zero 表示,三星近期已透過線上推送更新的形式,解決了大部分的漏洞,剩餘的 3 個漏洞也將本月陸續補完。
Google安全研究人員Natalie Silvanovich指出,Project Zero過去都是針對Google自有Nexus手機進行安全研究,然而OEM的智慧型手機是Android研究的重要一環,因為OEM在Android上會加入其他程式碼,權限可能有高有低,而且可能不安全,且由其決定多久釋出安全更新。Google選定三星的旗艦機種Galaxy S6 Edge,並由北美和歐洲的Project Zero團隊進行為期一周的競賽,最後並找出11項漏洞。
(圖/取自網路)
其中CVE-2015-7888存在於WifiHs20UtilityService中的目錄穿越(directory traversal)漏洞,可將檔案寫入系統。這項服務會掃瞄/sdcard/Download/cred.zip目錄下的壓縮檔,並解壓縮。這項漏洞造成解壓縮檔案的API無法驗證檔案路徑,因而可能將檔案寫在意想不到的位置。一旦壓縮檔包含惡意程式,即可由此植入手機。
另一項是位於Samsung Email用戶端的CVE-2015-7889,會導致應用程式大量傳送指令,造成用戶信件被轉寄到其他帳號,進而讓不具權限的應用程式不當存取郵件內容,使資料外洩。另一項安全漏洞CVE-2015-7893則會讓攻擊者執行郵件中嵌入的JavaScript。此外,Google安全研究人員並發現三項驅動程式漏洞,以及五項圖形介面漏洞。
除了Galaxy S6 Edge之外,Project Zero 也曾經針對自家的 Nexus 手機、微軟 Windows 10 作業系統、蘋果 OS X 作業系統以及 Adobe 的應用程式進行漏洞查核,基本上找出的漏洞都會先通知原製造商或開發商加以修正,等到修正完畢後才會公佈出來,以保護正在使用中的消費者。
【一零一傳媒/整理報導】
-------------------------------------------------------
文章內容若有侵權疑慮,請來信告知。
客服信箱:[email protected]
免責聲明:
部分圖片、觀點,來源於網際網路及其他網路平台,主要目的在於分享訊息,讓更多人獲得需要的資訊,其版權歸原作者所有。如涉及侵權請告知,我們會在24小時內刪除相關內容。