外媒:含富士康固件的安卓设备或藏秘密“后门”
最新报道称,包含富士康固件的某些安卓设备可能会因OS 引导装载程序内的调试功能遭受攻击。该功能是一个“后门”,允许入侵者绕过验证程序通过USB访问脆弱的手机。该后门名为“Pork Explosion”。
引导装载程序(启动Android OS的代码)中存在“后门”的原因是,多个OEM允许富士康创建生产并供应某些电子固件,用来聚合Android设备的所有部件。
富士康调试功能即是“后门”
美国安全专家Jon Sawyer 8月底发现,用于启动Android设备的固件不需要经过适当的验证程序。Jon Sawyer称,通过物理访问设备,便能通过USB将设备连接到电脑,并使用特定软件在启动程序过程中与设备交互。
这类软件更可能是富士康调试器,但Sawyer能创建自己的客户端并运行命令进入“出厂测试模式”。
该测试模式(又名“后门”)能通过Fastboot访问。Fastboot是处理启动命令的协议。Sawyer称,访问后门的启动命令为 “reboot-ftm”,并只能使用定制软件发送到设备,而不通过Android或OEM特有的Fastboot接口。
Sawyer称,“显然,调试功能是 “后门”,但并不应该出现在现代设备中,这是富士康方面的重大疏忽。”
通过USB访问“后门”,禁用SELinux
Sawyer表示,更糟糕的是,当用户进入“出厂测试模式”,便是“root”用户,可以完全控制手机,并且主要的Android安全组件SELinux会被完全禁用。
“简言之,通过USB可以完全控制,轻松劫持,不需要注册访问设备。该漏洞完全绕过设备的验证和授权控制。这是取证数据提取的主要目标。”
Sawyer补充道,“由于具有在密码保护或加密设备上获取root shell的能力,Pork Explosion对在取证数据提取、蛮力加密密钥或不需重置用户数据解锁设备引导装载程序方面具有价值。手机厂商未意识到此后门已经置入他们的产品。”
受影响设备数量未知
“Pork Explosion”后门影响了大量设备。不幸的是,受影响的OEM和智能手机模型尚不清楚。Sawyer提供一些信息检测检测Android设备是否受Pork Explosion后门影响:
"若想检测设备,可以查看“ftmboot”和“ftmdata”分区。Ftmboot分区连接传统的Android内核/内存虚拟盘图像,该分区禁用了SELinux,并且adb作为root运行。Ftmdata分区在ftm bootmode期间安装在/data上。这些分区只是说明设备易受攻击的一个标志。"
文章转载自 开源中国社区 [http://www.oschina.net]
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
你的 Android 不好用,都是因为这几点原因
Android早已是全球最大、用户最多的移动操作系统,不过它离全球最好用还差得很远。 大家随手就能举出些曾经历过的糟心体验,如手机卡顿!电量不禁用!广告弹窗老是出现!不过很少有人会追根寻底的去问为何如此,Android原生设计是怎样的?官方有修正吗?有民间大神来做补丁方案吗? 可能很少有人会知道,其实你对Android的印象已经远远落伍,它的问题很多都有了相应解决之道。下边宅客君将告诉大家,Android的不好用是因为什么?现在的Android又是怎样? 手机卡顿 从技术角度来说,卡顿主要有三方面原因:Android应用采用Java语言,相比iOS的Object C它更耗费硬件资源;Android设备过于分散,至少一半以上是中低档机型;Android对前台进程没有提高优先级,后台过多容易抢占更多资源。 虽然“天生卡顿”,但经过几年的艰难努力,现在最新Android设备已经很少出现卡顿问题了。来看看这个问题是怎样被改善的。 早期的Android版本(v1.5+)没有进程管理,当每次多开了几个应用,大家都会用atk等第三方工具来杀后台。 Android 2.3加入了进程管理,终于可以用系统...
- 下一篇
微软到底从 Android 上捞了多少好处?
微软长期以来依靠自己的大批专利数向Android手机厂商收取巨额的专利费已经不是什么秘密了。早在2011年就有消息称微软当时和三星谈判谋求 签订一份让三星每出货一部Android手机就向微软支付15美元专利费的协议,三星方面则期望通过加深和微软Windows Phone平台的合作以换取将该费用降低至10美元每台的结果。从中我们可以看到微软和三星之间的博弈,其中涉及到很多商业问题。 https://yqfile.alicdn.com/88833d82575dd34bc52781e12da7de54b10c69cf.png" > 在2014年10月份披露的一份诉讼文件显示微软每年从从Android和Chrome OS上所获取的专利授权收入非常惊人,仅三星一家公司,2013年就向微软支付了高达10亿美元的专利授权费用。而除了最大且最成功的Android厂 家,还有数十家公司向微软支付了Android专利使用费。要知道微软设备娱乐部门(包括Xbox、Windows Phone、以及Skype)在2013年的利润仅仅为8.48亿美元,三星一家在2013年交给微软的专利费就超过了这个数字。 ...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS关闭SELinux安全模块
- CentOS7设置SWAP分区,小内存服务器的救世主
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Docker快速安装Oracle11G,搭建oracle11g学习环境