在谈论安卓之前,我们已经讨论过“f”这个词,在分发每月的安卓安全更新时,碎片化可能是数百万安卓用户面临的一个严重问题。这是因为不是每个手机厂商都会及时发布最新的安全补丁。这是为什么真正的安卓或谷歌生态系统爱好者可能会想购买Pixel的另一个例子(他们已经获得了最新版本安卓的第一个漏洞以及实时转录和天体摄影等酷功能)。
很多安卓手机(包括最近购买的三星Galaxy Note 10 5G(T-Mobile中随安卓10提供)都不包含12月更新)。三星在一份声明中表示:“虽然我们正在尽最大努力尽快为所有适用机型提供安全补丁,但安全补丁的交付时间可能因地区和机型而异。”我们只能想象落后数月的安卓手机名单。
对于大多数安卓用户来说,每月的安全更新是一个沉睡的假期,因为它不会进行任何更改或添加他们可以查看或使用的新功能。但问题是,由于一个名为CVE-2019-2232的漏洞,12月的安全更新非常重要。根据NIST国家漏洞数据库(通过福布斯),恶意编写的消息可能会导致永久拒绝服务攻击,从而攻击运行安卓8、8.1、9或10的手机。12月的安卓安全更新包括一个CVE-2019-2232,这意味着如果更新已经发送到你的手机,请立即安装。然而,真正的问题是目前只有有限数量的设备拥有它。该更新于12月2日首次发布,谷歌表示:“一般来说,OTA访问所有谷歌设备大约需要一个半月的时间。”这仅适用于Pixel手机。
“StrandHogg”是一个危险的漏洞,让排名前500的安卓应用面临风险。
究其原因,与苹果为iPhone生产硬件和软件不同,安卓厂商数量庞大。可以去关于安卓版手机的设置,找到上次收到的安全补丁。我们的Pixel 2 XL已经安装了12月5日的安全补丁级别。
最近,安卓使用出现了许多其他安全问题。上个月,我们给大家讲了谷歌相机应用,它可以让坏人在毫无戒心的安卓用户手机上远程拍摄视频和照片。该漏洞影响了数亿安卓用户。同样在上个月,我们通过了下一代安卓消息传递(即丰富通信服务(RCS))中发现的漏洞。攻击者可以通过欺骗来电显示和网络钓鱼来利用此漏洞。在最坏的情况下,安卓用户可能会被骗向银行和其他账户泄露个人识别码,这将发现并窃取大量资产。
本月早些时候,安全软件开发商Promon发布了关于“StrandHogg”漏洞的信息。该恶意软件伪装成合法应用程序,将首批500个安卓应用程序置于危险之中(Propro partner Lookout发现了36个实际携带此漏洞的恶意应用程序),并允许不良行为者(没有root访问权限)通过手机麦克风监听安卓用户,远程控制摄像头和拍照,读取和发送手机短信,拨打和记录电话,通过GPS访问查找用户位置,查看安卓手机上的照片和文件,查看通讯录。
StrandHogg是一个危险的漏洞,可能使黑客能够访问您的个人信息。
有了“StrandHogg”,安卓用户将点击属于合法应用的图标。将显示恶意软件,并且需要某些权限,而不是合法的应用程序。一旦毫无戒心的安卓用户授予这些权限,黑客就获得了绿灯。此漏洞可能会发起网络钓鱼攻击,从而使不良行为者获得重要的个人数据。
谷歌最近宣布,将与一些安全公司(包括上文提到的Lookout)合作打击恶意软件。希望App防御联盟能比烂演员领先一步。安全研究公司通常会联系谷歌提供他们的发现,公司会关闭这些漏洞。不过,对于StrandHogg,Promon指出,谷歌一开始并没有把它当回事。虽然负责分发恶意软件的应用程序最终被删除,但显然该漏洞没有得到修复。而且,很多帮助传播StrandHogg的“眼药水应用”还在安卓用户的手机上。其中之一是一个名为CamScanner的PDF创建器应用程序,已经安装了超过1亿次。