您现在的位置:首页 >> IT >> 正文
ISC2015移动分论坛:一根数据线成高危漏洞始作俑者
发表时间:2015年9月29日 17:19 来源:新科技 责任编辑:编 辑:麒麟

9月29日,第三届中国互联网安全大会(ISC)于北京国家会议中心召开。在下午的智能移动终端安全论坛上,360公司高级安全研究员周亚金与现场来宾分享了关于安卓漏洞的研究成果。周亚金详细讲解了如何利用一条数据线攻破安卓系统,达到控制手机、窃取隐私的目的。

图:2015ISC智能移动终端攻防论坛360公司高级安全研究员周亚金成果分享

在谈论数据安全前,周亚金先给在座的互联网爱好者们普及了一个著名的攻击方式——邪恶女佣。他用比较重视信息安全的CEO做虚拟角色,以酒店为场景,负责打扫房间的女佣就具备接近CEO的条件,她可以插入具备攻击代码的磁盘,当CEO再次使用电脑时,输入的密码便会被攻击并记录,存在信息泄露的风险。

风险无处不在,数据线作为连接电脑的工具十分常用,它又是如何引发安全问题的呢?

在用户使用数据线充电、备份照片、传输文件、刷机、安装应用、开发调试应用时都可能陷入潜在的安全威胁。这一切的始作俑者就是能影响所有安卓系统版本、被谷歌确认为高危漏洞的JDWPExposed。

虽然针对系统来说,所有的接口都是默认关闭的,但因为安卓系统漏洞存在,调试接口被调用时会默认打开,获得权限后就可以任意操作,用户信息便存在被窃取的风险。

周亚金在现场为大家演示了如何通过漏洞,执行恶意代码,破解用户的手机屏幕锁,和窃取到微信聊天记录等操作,其信息很快显示在攻击者所控制的电脑上。为了让在座的观众,了解的更加直观,周亚金在现场分享了二维码供嘉宾扫描,很快,参与扫码的嘉宾就被皮杰并显示在大屏幕上。

现场的观众无不惊呼,原来信息安全问题真的存在非常严重的危害。一根数据线、一个二维码甚至一个链接都可能成为安全威胁。

关于安全问题如何防护,周亚金的建议是,漏洞虽然存在,但是触发漏洞的命令还需要条件,应用的开发者可以采用实时监测应用状态,防止被攻击,而手机厂商则可以增加补丁,推送OTA,对于用户来说,则需要及时升级手机系统,尽量避免连接到电脑,清除adb授权。

相关文章
关于我们 | 联系我们 | 友情链接 | 版权声明
新科技网络【京ICP备15027068号】
Copyright © 2015 Hnetn.com, All Right Reserved
版权所有 新科技网络
本站郑重声明:本站所载文章、数据仅供参考,使用前请核实,风险自负。