LG曝安全漏洞,影响过去7年的LG安卓智能手机
近日,韩国手机厂商LG公司发布了影响过去7年LG安卓智能手机的漏洞补丁,该漏洞CVE编号为CVE-2020-12753,影响LG智能手机的bootloader 组件。
与安卓操作系统不同,bootloader是与每个智能手机厂商的固件相对应的。是用户启动设备后运行的第一部分代码,确保智能手机固件和安卓操作系统以正确和安全的方式启动。
高通安卓启动过程如下:
而在实践中,设备的启动过程并没有那么简单,因为厂商一般都会对启动过程做一些修改。LG设备的启动过程中,对其他登陆和调试就行了修改、对SIM解锁假日了额外的TEE验证,在aboot中加入了厂商特定的快速启动命令等。
漏洞分析
今年3月,美国软件工程师Max Thomas在LG bootloader组件中发现了一个安全漏洞,该漏洞从LG Nexus 5系设备开始加入到LG智能手机中。漏洞位于LG bootloader graphics package中,攻击者利用该漏洞可以让bootloader graphics在特定条件下运行攻击者的代码,比如电池没电的时候或设备处于bootloader的Download模式时。
Thomas称,攻击者成功发起攻击后可以运行定制代码,完全控制bootloader和整个安卓设备。研究人员在LG Stylo 4设备上进行了测试,并发布了PoC代码,参见:https://github.com/shinyquagsire23/CVE-2020-12753-PoC
攻击条件
CVE-2020-12753漏洞就是所谓的冷启动攻击,也就是说要利用该漏洞需要有设备的物理访问权限。但这并不意味着该漏洞的影响就不大。在用户设备被窃或锁定的情况下,该漏洞可以被用来解锁设备、重新获得设备的控制权。
漏洞影响和补丁
漏洞影响使用QSEE (Qualcomm Secure Execution Environment)芯片的LG智能手机,所有运行安卓7.2及之后版本的LG设备都受到该漏洞的影响。
LG已于2020年5月发布了该漏洞的安全补丁,研究人员建议用户尽快下载安卓更新补丁。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
专家呼吁加码个人隐私保护 建立数据全生命周期管理
日前,我国首份从消费者角度出发,评价数字经济服务质量的《中国数字经济服务质量满意度DES-CSI测评研究报告》发布。报告显示, 61.3%的消费者认为目前数字经济服务相关法律法规的健全程度及个人隐私安全保护方面还有很大的提升空间,主要体现在即时通信服务业态上个人隐私安全性的保护。 数据是资产、数据有价值已经是一种社会共识,与此同时,伴随信息的过度收集、未经用户同意收集的争议也由来已久。 按照国家推荐性标准《信息安全技术 个人信息安全规范》的提示,对用户个人信息的收集应有明确的目的,不得超出产品功能相关目的收集额外信息。但在实际生活中,用户在面对无法弃用的各类App时,往往少有“无可奉告”的自由。 “考虑到App类型多样,行业主管部门可以通过发布指南等方式为类型化的业务场景规定信息收集范围。明确权限,细化管理。”北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长吴沈括表示,如根据全国信息安全标准化技术委员会发布的《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》,个人征信信息须经用户授权查询;金融借贷类App可收集紧急联系人信息,但仅限两人;App应允...
- 下一篇
为什么受伤的总是我?黑客劫持Coincheck的一个域进行鱼叉式网络钓鱼攻击
Coincheck是日本最大的虚拟货币交易所之一,月交易额达到2600万美元。最近有消息称,黑客劫持了Coincheck的域名注册账户,然后更改了DNS设置。 不过交易所的负责人表示: 黑客控制了其在本地域名注册机构的帐户,并劫持了其中一个域名,后来他们利用该域名对一些客户实施钓鱼攻击。 为了保护用户的交易安全,本周二,该交易所在其平台上暂停了汇款业务,目前他们正在调查这起事件。但其他业务,如取款或存款,还没有被停止交易。 根据本月2号发布的事件报告,该公司表示,最初的攻击发生在5月31日(周日)。黑客获得了该公司域名注册商Oname.com上Coincheck帐户的访问权限,事后Oname也证实了这一说法。 虽然Coincheck没有提供有关此次攻击的任何技术细节,但日本安全研究员Masafumi Negishi通过分析发现,黑客修改了Coincheck的coincheck.com域的主要DNS条目。 Coincheck目前使用的是Amazon的托管DNS服务,这意味着Amazon的DNS服务器将处理返回用户的客户端(浏览器、移动应用程序、钱包)连接coincheck.com域所需的...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS关闭SELinux安全模块
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Hadoop3单机部署,实现最简伪集群
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS6,CentOS7官方镜像安装Oracle11G
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8编译安装MySQL8.0.19
- CentOS6,7,8上安装Nginx,支持https2.0的开启