谷歌的Android Hacking比赛未没能吸引漏洞利用

发布时间：2023-02-22 14:10:18 所属栏目：要闻来源：

导读：半年前,谷歌通过掌握受害者的电话号码和电子邮箱，您可以向任何可以远程处理Android设备的研究人员支付200,000美元。没有人加强挑战。

虽然这可能听起来像好消息和对移动操作系统的遗嘱的遗嘱安全，但很可能不是公

半年前,谷歌通过掌握受害者的电话号码和电子邮箱，您可以向任何可以远程处理Android设备的研究人员支付200,000美元。没有人加强挑战。

虽然这可能听起来像好消息和对移动操作系统的遗嘱的遗嘱安全，但很可能不是公司项目零奖竞赛的原因所吸引了这么少的兴趣。从一开始，人们指出，200,000美元太抵了一个远离用户交互的远程利用链的奖品。

“如果一个人可以这样做，爆炸可以销往其他公司或实体以获得更高的价格，”一位用户在9月份回应了原始比赛公告。

“许多买家在那里可以支付超过这个价格; 200k不值得寻找针在干草堆下的针，”另一个。

谷歌被迫承认这一点，本周注意到博客岗位上，“考虑到赢得这场比赛所需的错误类型，”奖金可能太低“。”根据该公司的安全团队的说法，可能导致缺乏兴趣的其他原因可能是这种漏洞的高度复杂性和竞争比赛的存在性规则严格严格。

为了在Android上获得root或内核权限并完全妥协设备，攻击者将必须将多个漏洞连锁。至少，它们需要一个缺陷，允许它们远程在设备上远程执行代码，例如在应用程序的上下文中，然后是权限升级漏洞以转义应用程序沙箱。

通过Android的每月安全公告来判断，没有特权升级漏洞的不足。但是，多年来谷歌一直都希望智能耳机作为本次比赛的人工智能一部分提交的利用，不应该仅依赖于任何人工智能形式的用户互动。这意味着攻击应该在没有用户点击恶意链接，访问流氓网站，接收和打开文件等的情况下工作。

这条规则显着地限制了研究人员可以用来攻击设备的入口点。链条中的第一个漏洞必须位于操作系统的内置消息功能，如SMS或MMS等，或者在基带固件中 - 控制手机调制解调器的低级软件，可以经过蜂窝网络攻击。

在2015年在2015年在一个名为STACEFIGHT的核心媒体处理库中发现了一个易受这些标准的漏洞，其中来自移动安全公司Zimperium的研究人员发现漏洞。当时触发大型协调的Android修补工作的缺陷本可以通过在设备存储上的任何位置放置特殊制作的媒体文件来利用。

这样做的一种方法，涉及将多媒体消息（MMS）发送给针对性的用户，并不需要它们的互动。仅接收这样的信息足以成功开发。

由于在STAILFIGHT和其他Android媒体处理组件中找到了许多类似的漏洞，但Google更改了内置消息传递应用程序的默认行为，以便自动检索MMS消息，关闭该大道以获取未来的漏洞。“我们发现这些漏洞可以通过一个简单的命令进行修复，即使是最好的开发人员也可以轻松修复。”谷歌表示。“

（编辑：聊城站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!