Wi-Fi 漏洞让 Android 设备向攻击者敞开大门

阿里巴巴安全团队向Google安全团队报告发现了一个Wi-Fi组件wpa_supplicant的漏洞,主要影响Android, 但Windows和Linux设备也可能受影响。该漏洞有几分类似去年的Heartbleed漏洞,wpa_supplicant在使用管理帧解析 SSID信息时,没有正确验证传输数据的长度,因此存在缓冲区溢出漏洞,可能向攻击者暴露内存内容或允许攻击者向内存写入新数据。攻击者可利用该漏洞让 wpa_supplicant和Wi-Fi服务崩溃,一个特别构造的SSID可通过发送响应对受影响设备发动拒绝服务攻击。修正 wpa_supplicant的补丁已经发布,但根据Android市场的碎片化,很可能许多受影响设备不会得到更新。
文章转载自 开源中国社区 [http://www.oschina.net]

时间: 2024-10-02 07:16:04

Wi-Fi 漏洞让 Android 设备向攻击者敞开大门的相关文章

所有Android设备都受影响:Dirty COW漏洞可获root权限

近日安全专家David Manouchehri公布了脏牛(Dirty COW)Linux漏洞的源代码,能够利用该漏洞来获取Android智能手机的root权限.在Linux项目团队已经修复了自Linux Kernel 3.6版本(2007年发布)以来的安全漏洞之后,脏牛漏洞才在网络上公开. 该漏洞编号为CVE-2016-5195,允许攻击者在内核操作中不断提升自己的权限并作为合法用户来执行远程代码,换而言之就是该漏洞能够让攻击者在Linux设备上获得root权限.发现该漏洞的专家Phil Oes

这款开源“神器”,可以找出Android设备最底层的Bootloader漏洞

本文讲的是这款开源"神器",可以找出Android设备最底层的Bootloader漏洞, 即使操作系统受到损害,智能手机的Bootloader固件也应该是安全的.但是近日,研究人员在4个主流芯片供应商的代码中发现了7个安全漏洞,这些漏洞会导致手机信任链在引导过程中被攻破,从而使设备遭受攻击. 关于Bootloader Bootloader是嵌入式系统在加电后执行的第一段代码,在它完成CPU和相关硬件的初始化之后,再将操作系统映像或固化的嵌入式应用程序装在到内存中然后跳转到操作系统所在的

潜伏3年的Linux漏洞,影响66%的Android设备

据Wired报道,以色列安全公司Perception Point在Linux内核中发现了一个0day漏洞,会影响数千万Linux电脑和服务器,以及66%的Android手机和平板.而且漏洞已经存在了三年. Perception表示,漏洞存在于Linux密钥环(keyring),应用可于此存储认证和加密密钥,安全数据以及其它敏感信息.它会让黑客伪装成本地用户,获得root权限,从而安装恶意程序,删除文件,读取敏感信息.而且黑客获得权限的方式很简单,只需要一个钓鱼链接即可. 谁受到影响? 根据现在的

F5设备中存在一个Ticketbleed漏洞,可被远程攻击者利用

本文讲的是F5设备中存在一个Ticketbleed漏洞,可被远程攻击者利用, F5 Networks BIG-IP设备中存在一个严重漏洞,漏洞编号为CVE-2016-9244.该漏洞被命名为Ticketbleed,可被远程攻击者利用于窃取内存中的敏感信息,包括敏感数据(比如SSL Session ID). 受影响的F5 BIG-IP设备包括LTM.AAM.AFM.Analytics.APM.ASM.GTM. Link Controller.PEM.PSM. F5设备中存在致命漏洞 发现这枚漏洞的

潜伏3年的Linux漏洞 影响66%的Android设备

据Wired报道,以色列安全公司Perception Point在Linux内核中发现了一个0day漏洞,会影响数千万Linux电脑和服务器,以及66%的Android手机和平板.而且漏洞已经存在了三年. Perception表示,漏洞存在于Linux密钥环(keyring),应用可于此存储认证和加密密钥,安全数据以及其它敏感信息.它会让黑客伪装成本地用户,获得root权限,从而安装恶意程序,删除文件,读取敏感信息.而且黑客获得权限的方式很简单,只需要一个钓鱼链接即可. 谁受到影响? 根据现在的

大漏洞!!Bluebox 声称 Android 存在安全漏洞,99% 设备受影响

class="post_content" itemprop="articleBody"> Android 是开源系统,开发者或保安公司人员可轻易检查到当中的程式码,Bluebox 的安全研究团队也因此发现 Android 系统存在一个安全漏洞,受影响对象包括近 4 年绝大部份的 Andr​​oid 设备-- 按照其说法,这个漏洞自 Android 1.6(Donut)以来就一直存在,心怀不轨的开发者可以在不破解加密签名的前提下利用它来修改合规 APK 的代码,

最强 Wi-Fi 漏洞影响所有设备,安卓补丁下月才发,但为何你不用恐慌

10月16日,雷锋网曾报道,用于保护无线路由器和联网设备不被入侵的 WPA2 安全加密协议,应该已经被破解了!利用这些漏洞的影响包括解密.数据包重播.TCP 连接劫持.HTTP内容注入等.意思就是,只要你的设备连上了WiFi,都有可能被攻击. 有人称,吃瓜群众修改 WiFi 密码也没用,只能联系厂商坐等解决方案. 事实果真如此吗? Wi-Fi安全漏洞源于安全标准,这次不怪个人 漏洞名叫"KRACK",也就是"Key Reinstallation Attack"(密钥

频频被曝安全漏洞的Android在10月经历了哪些威胁?

谷歌发布了 11 月 Android 系统安全漏洞公告,解决了 31 个漏洞,其中 9 个是严重的远程代码执行漏洞. Android 系统安全漏洞公告包含了三种不同的安全补丁程序级别. 2017-11-01 和 2017-11-05 的补丁程序包含对"严重"和"高严重"问题的修复 2017-11-06 补丁仅解决了具有高风险的 KRACK 漏洞 2017-11-01 安全补丁程序解决了 11 个安全漏洞,其中 6 个是严重的 RCE 漏洞,3 个引起特权提升的高严重

Android设备安全影响整个企业数据泄露

本文讲的是 : Android设备安全影响整个企业数据泄露   ,[IT168 编译]DEF CON黑客大会上研究人员表示,谷歌Android的单点登录功能"weblogin"很方便,但可能让企业的谷歌应用程序受到威胁. Tripwire公司高级安全研究人员Craig Young发现多个攻击向量,允许攻击者通过一个Android设备入侵到受害者的谷歌云应用程序.这个漏洞也被称为"weblogin",Android使用这个令牌来允许用户一次性登录所有谷歌服务,当攻击者