最近,專門去找出各種安全漏洞的 Google 的 Project Zero 團隊,想研究看看那些 OEM 廠商生產的 Android 裝置安全性到底如何,於是當下熱門的 Android 手機之一,Galaxy S6 Edge 就成了他們的研究對象。 在經過一周的研究後,在三星的 Galaxy S6 Edge 中發現了 11 處安全性漏洞。
對於像三星這樣的 Android 手機製造商來說,為了和競爭對手做出差異化,它們都會選擇在原生 Android 系統上面做一些改動、增加一些特色功能,而這難免就要增加新的程式碼,自然也就有可能引入安全性漏洞。
為了加快找出可能存在的安全隱患,在這場以 Galaxy S6 Edge 為目標的捉蟲遊戲中,在歐洲和北美的兩個小組分別在 Google 安全團隊的參與下開始尋找漏洞。經過一周的研究之後,Project Zero 團隊總計在 Galaxy S6 Edge 中發掘了 11 個安全性漏洞,駭客利用這些漏洞將可以竊取使用者的電子郵件、製作有系統許可權的檔、執行惡意程式碼等等。
這11個漏洞中,比較危險的包括:
1)Unzip 檔案的過程中,被 Unzip 的內容,有機會被寫進系統檔案
2)應用程式可以輕易透過手機的 Email 工具將郵件轉寄到任何電郵地址
3)Email 工具的漏洞令嵌入了 JavaScript 程式的郵件可以在 Email 工具中直到執行程式
發現問題之後,Project Zero 團隊立刻把這些漏洞反映給了三星,看看他們是否會積極應對這些問題。如果你正是 Galaxy S6 Edge 使用者,你或許不必過於擔心,因為三星已經在 10 月份的維護版本升級中修復了這 11 個漏洞中的 8 個,剩下的 3 個也將在 11 月份修復完畢。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!