Nul
En sårbarhed er opdaget i Googles Android-styresystem, som kan tillade cyberattackers skjulte fange Wi-Fi broadcast data til at spore brugere.
Onsdag, forskere fra Nattevagten Cybersecurity sagde i en sikkerhedsmeddelelse, at det er en fejl, CVE-2018-9489, blev opdaget i operativsystemet kommunikation, ledelse programmering.
Nattevagten Cybersecurity forsker Yakov Shafranovich sagde, at Android-enheder udsende oplysninger om brugerens enhed programmer, der kører på systemet. Denne information kan omfatte Wi-Fi-netværk, navne, BSSID, lokale IP-adresser, DNS server, data-og MAC-adresser, — selv om sidstnævnte er skjult via Api ‘ er med Android version 6 og nyere.
Ved at lytte til disse data streams, at apps kan fange de oplysninger, ofte til lovlige formål.
Men når rogue apps tagrender, dette kan føre til følsomme oplysninger, videregivelse og hackere kan være i stand til at angribe lokale Wi-Fi-netværk eller bruge MAC-adresser til at spore unikke Android-enheder.
Det er også muligt at geotrack brugere via nettet navn og BSSID ved hjælp af database-opslag.
“Mens funktionalitet eksisterer for at begrænse, hvem der får lov til at læse disse meddelelser, udviklere ofte forsømmer at gennemføre disse begrænsninger er korrekt eller maske følsomme data,” siger forsker. “Dette fører til en fælles svaghed i Android-applikationer, hvor en ondsindet program, der kører på den samme enhed kan udspionere og fange beskeder, der udsendes af andre applikationer.”
TechRepublic: Android Pie: Cheat sheet
Android bruger “råd” til inter-proces information sammen med en række tilladelser, som beskyttelse mod aflytning eller data lækager.
OS anvender to hensigter med henblik på at udsende information system-wide. Den hensigter er WifiManager Netværk tilstand ændres handling” og WifiP2pManager “Wi-Fi P2P denne enhed ændret handling.”
Applikationer kan udnytte denne information på brugerens enhed, og når de tilgås via WifiManager, “Adgang til Wifi stat” tilladelse er normalt påkrævet. Adgang til geolocation data, der normalt kræver, at der enten “adgang fin beliggenhed” eller “få adgang til grove beliggenhed” tilladelser.
Se også: Android 9 Pie: Nye funktioner, udgivelsesdato, og alt, hvad du behøver at vide
Men når et program er simpelthen bare at lytte til system-udsendelser, de tilladelser, der kræves, er omgået, hvilket kunne gøre det muligt slyngelstater og skadelige apps til at fange disse data uden brugerens kendskab.
“Fordi MAC-adresser ikke ændres og er bundet til hardware, denne kan bruges til entydigt at identificere og spore alle Android-enhed, selv når MAC-adresse randomisering er brugt,” Shafranovich sagde. “Det netværksnavn og/eller BSSID kan bruges til at geolocate brugere via et opslag mod en database som WiGLE eller SkyHook.”
Holdet har testet en række af Android-enheder, der alle viste den samme adfærd. Men, i nogle tilfælde, den rigtige MAC-adresse ikke blev vist i “Netværk tilstand ændres handling,” hensigtserklæring, men var til rådighed gennem “Wi-Fi P2P denne enhed ændret handling,” forsæt.
Alle versioner af Android, herunder OS gafler — som Amazon ‘ s Kindle FireOS — menes at være påvirket, kan potentielt påvirke millioner af brugere.
Cybersikkerhed firma i første omgang rapporterede resultaterne for Google i Marts. Efter en undersøgelse, der tog flere måneder, et CVE-nummer, der var tildelt for den sikkerhedsrisiko, og Google har udviklet en rettelse i juli.
Plasteret blev bekræftet i begyndelsen af August, hvilket fører til en offentliggørelse af sårbarhed.
CNET: Pixel 3 og Pixel-3 XL: Rygter om specs, funktioner, lækager, pris, udgivelsesdato
Google har rettet de sikkerheds fejl i den seneste version af Android-styresystemet, Android S, også kendt som Android 9 Pie.
Men tech gigant vil ikke rette tidligere versioner af Android-som løse sårbarhed “ville være et brud API-ændringer,” i henhold til cybersecurity firma.
Tidligere i denne måned, har Google annonceret lanceringen af Android 9 Pie, som allerede er rullende ud til at Android-brugere på nogle enheder.
Android-enheder, der er fremstillet af leverandører, herunder Nokia, Xiaomi, og Sony vil modtage opdaterede OS ved slutningen af efteråret. Opdateringen indeholder nye gestus til navigation, temaer og adaptive indstillinger for skærmens lysstyrke og batteritid, blandt andre.
Brugere i stand til at opgradere til Android 9 opfordres til at gøre dette.
ZDNet har nået ud til at Google med yderligere forespørgsler og vil opdatere, hvis vi hører tilbage.
Tidligere og relaterede dækning
Mød den malware, der kaprer din browser og omdirigerer dig til falske sider, Facebook patches kritiske server fjernkørsel af programkode sårbarhed WhatsApp advarer gratis Google Drive backups er ikke end-to-end krypteret
Relaterede Emner:
Mobilitet
Sikkerhed-TV
Data Management
CXO
Datacentre
0