原标题:Android装置的无线广播暴露敏感资料,但Google只针对最新版作业系统修补
图片来源:Nightwatch△Cybersecurity博客
对于行动装置而言,无线网络的通讯,是连上网络最为普遍的方式之一,然而,连线过程所传递的附加资讯,却可能让有心人士能够更容易锁定下手目标,造成使用者的装置暴露在危险之中。资安研究团队Nightwatch△Cybersecurity指出,近期有项漏洞,便与Android装置的无线网络广播功能有关,会泄露装置取得的IP位址、DNS伺服器资讯,甚至是MAC位址等,而且,该弱点影响的范围,遍及所有版本的Android作业系统,而且,以该平台为基础开发的作业系统,像是Amazon为Kindle装置量身订做的Fire△OS,也存在相同的漏洞。
该团队表示,由于装置上的MAC位址与硬件结合在一起,具有唯一性,不易变更等特点,便成为有心人士想要追踪Android装置的重要依据,就算受害者修改MAC位址,改用动态的MAC位址上网,骇客还是能利用硬件的MAC位址,锁定受害的装置。
而装置的网络名称,以及基本服务组态识别码(BSSID),则是能够用来定位使用者所在的地理位置,骇客可借由WiGLE与SkyHook等厂商,所提供的BSSID资料库,找到攻击的目标。至于其他被泄露的装置网络资讯,骇客可利用流氓软件,进一步探索受害装置所在的无线网络,然后发动攻击。
在Nightwatch△Cybersecurity分析的结果指出,不只研究人员能够用指令码,取得装置上的网络资讯,甚至一般使用者,也能通过能从Play商店下载的App,例如,一款名为Internal△Broadcasts△Monitor的应用程序,就可经由无线网络的监听,取得装置内容,验证这项弱点。
?
想要验证这项Wi-Fi弱点,使用者只要经由一款名为Internal△Broadcasts△Monitor的App,就能做到。在监控结果的android.net.wifi.STATE_CHANGE,或是android.net.wifi.p2p.THIS_DEVICE_CHANGED开头的片段,就会出现这台装置的名称、SSID、BSSID、装置的IP位址、路由器IP位址,以及DNS位址等(左图红圈处),甚至是MAC位址(右图红圈处)等资讯。(图片来源/Nightwatch△Cybersecurity)
这个Android平台的漏洞,虽然早在3月底就通报给Google,但根据Nightwatch△Cybersecurity的追踪,该厂商在上个月推出的Android△Pie(9.0)中,终于修补了相关的弱点,不过,考量到会破坏系统中的API,Google不打算处理旧版作业系统的漏洞,由于目前执行最新版本Android的装置并不多,因此,大多数采用这套作业系统的行动装置,普遍曝露在这项弱点之中。此外,Amazon在5日时表示,他们会自行修补Fire△OS的漏洞,算是非常负责任的做法。
但这也突显了Android作业系统版本碎片化的问题。根据Google的统计,截至今年的8月31日,Android△Marshmallow(6.0)与Nougat(7.0),仍是最多人使用的版本,分别占有22.7%与20.3%比例,Android△Pie的前一个版本8.1,仅有3.1%。虽然,这份资料并未列出Android△Pie的比例,但依据以往新版Android推出后一个月内,被采用的比例都不高,执行这个最新版本的装置应该是少之又少。因此,在Google上述的考量下,不再修补8.1版以前的作业系统后,市面上大多数的Android装置,除非装置厂商自行进行修补,或是提供了Android△Pie供使用者升级,目前为止,几乎所有的Android装置上,都存在前述的无线网络广播漏洞。
基本上,上述最多人执行的Android版本,已经是许多装置能够执行的最新版作业系统,换言之,除非使用者汰换新的手机或是平板电脑,不然持续使用原有的装置,仍是处于上述的风险之中。
根据Google提供的资料,Android△Marshmallow(6.0)与Nougat(7.0)是最多人采用的版本,其次是5.1版的15.4%,都远比Android△Oero(8.0)之后的版本要来得多。至于Android△Pie,由于少于0.1%,并未列在其中。这显示大部分的Android装置,都暴露在无线网络广播的漏洞风险中。
相关:
以肤色在人海搜寻疑犯AI系统 消息指IBM与纽约警方曾合作开发 | 香港 UNWIRE.HK 玩生活.乐科技
人脸分辨技术在多国被研究应用于扑灭罪案用途。早前有消息指亚马逊向美国执法部门提供人脸分辨技术,而最新报告显示,IBM 与纽约警方合作开发以脸部特征搜寻特定人士,这个系统曾考虑应用于纽约市装置的 CCTV 镜头。
Uber 发表新技术 司机手机变身撞车侦测装置 | 香港 UNWIRE.HK 玩生活.乐科技
Uber 日前在美国推出全新的安全功能“Ride Check”,通过智能手机的 GPS、加速度器、陀螺仪和其他感应器去侦测意外事故,当侦测到碰撞发生时,Uber App 会即时发送通知到乘客的手机,要求对方回答一些问题。假如乘客
TP-Link Deco P7 Mesh + Home Plug 家居 Wi-Fi 系统 | 香港 UNWIRE.HK 玩生活.乐科技
说起家居网络,以前可能大家用一个效能较高穿透力强的路由器已经足够,但近年就流行改用 Wi-Fi Mesh 网络,以解决家居 Wi-Fi 死角问题。不过对于一些设计“独特”的家居,Wi-Fi Mesh 也未能完全解决间隔或死角问题,
瞄准ERP系统需处理复杂交易的需求,甲骨文自主交易处理服务在台正式上线
图片来源: 甲骨文 甲骨文近年来布局AI资料库云服务,主打甲骨文自主资料库云(Oracle△Autonomous△Database△Cloud),3月底时就先于美国推出甲骨文自主资料仓储云(Oracle△Autonomous△Data△Warehouse△Cloud),
示意图,与新闻事件无关。 市场研究机构IDC本周公布今年第二季全球虚拟实境(VR)头戴装置的出货报告,指出今年第二季的出货量比去年同期下滑了33.7%。不过,IDC认为这只是该市场暂时性的衰退,只要找到支撑就能再