Android N 拆分了媒体服务：以消除 Stagefright 高危漏洞的影响-低调大师

Android N 拆分了媒体服务：以消除 Stagefright 高危漏洞的影响

2017-06-07 554

Stagefright高危漏洞已经曝光一年，Google也早就通过月度安全更新来修复。然而由于原始设备制造商们的推送并不给力，当前仍有数亿的Android设备面临着巨大的风险。Stagefright利用了Android系统中媒体服务处理的一个漏洞，尽管其已经被封堵，但开发者们仍震惊于它为何有如此强大的破坏力。好消息是，为了消除Stagefright高危漏洞的后续影响，Google决定在Android N中作出重大的改进。

媒体服务（mediaserver）拥有太大的能量，意味着其一旦被攻击者利用，就可以获得与Android子系统相当的访问权限。

媒体服务几乎可以访问任何与多媒体相关的内容，包括音频、摄像头、甚至无线网络。显然，用单个进程来承担如此多的工作，是相当危险的（可能还有更多的漏洞）。

Stagefright利用了mediaserver在媒体解析代码上的漏洞——要解析媒体，你得需要读取文件，但肯定没必要去调用摄像头。

在Android N中，Google将媒体服务拆分成了不同的片块，每个都只能访问一个特定的子系统。

比如，音频服务（AudioServer）只可访问所有音频内容，而摄像头服务（CameraServer）只能调用摄像头。

此外，Android N中还有拆分出来的提取服务（ExtractorService）、解码器服务（MediaCodecService）、DRM服务（MediaDrmService）。

如果你的设备正运行着Android 6.0 Marshmallow，那么媒体服务就已经被拆解成了上述6小块。

====================================分割线================================
文章转载自开源中国社区[http://www.oschina.net]

微信关注我们

原文链接：https://yq.aliyun.com/articles/116976

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Shashlik：Linux 上运行 Android 应用的新法子

Shashlik 是一个在通常的 GNU/Linux 发行版上加载 Android 应用的 “Android 模拟环境”。 Shashlik 将于7月晚些在 KDE Akademy 2015 大会上以 “一个在 ‘真正’ Linux 上运行 Android 应用的新法子” 提到。来自 Dan Leinir Turthra Jensen 的情报： “Shashlik，一个尽可能小的 Android 系统和框架的集合，构建且运行于标准的、现代的 linux 系统，并尽可能的使用标准的系统，而且一开始就是自由开放的。Shashlik 可以集成到你已经使用的系统，desktop, laptop, tablet，甚至基于 plasma 的手机或电视。然而作为一个尚未成熟的东西，此次在大会上的提及意味着 Shashlik 已经可以拿来试用了，你可以自己去试一试，然后你就能看到应用通过 Shashlik 运行在一个完全标准的 Plasma 桌面上。”文章转载自开源中国社区 [http://www.oschina.net]

2017-06-08

648

安全公司FireEye的研究人员称，过去五年，很多Android手机都存在一个漏洞，会导致用户的短信、电话记录和其它私人敏感数据被窥探。漏洞影响Android v4.3及早期版本，允许低权限应用访问它们本来被限制访问的敏感数据。漏洞编号为CVE-2016-2060，是移动芯片巨头高通公司引入到 Android系统中的，它为系统服务network_manager（netd）释出了一组编程接口。研究人员称，CVE-2016-2060至少从 2011年就存在于系统中，影响全世界数以百计的设备型号。Google在五月一日释出了补丁，但大部分受影响的设备可能永远不会打上补丁。 ====================================分割线================================文章转载自开源中国社区[http://www.oschina.net]

2017-06-08

687

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。