专注于武汉中小企业服务解决方案提供商

电脑维修、布线、安防监控、数据恢复、采购、回收

所属分类 > 家电维修 > 正文

2017安卓使用第三方SDK威胁概况 你的手机真的安全吗? (安卓diy)

编辑:rootadmin

整理分享2017安卓使用第三方SDK威胁概况 你的手机真的安全吗? (安卓diy),希望有所帮助,仅作参考,欢迎阅读内容。

内容相关其他词:2017年安卓,安卓第一版,2017安卓机,2017年安卓,安卓1.0第一次出现在什么手机上,2017安卓机,安卓diy,安卓1.0第一次出现在什么手机上,内容如对您有帮助,希望把内容链接给更多的朋友!

  前言  据外媒报道,美国媒体机构Zenith发布的最新研究报告预测,在年,全球智能定位器用户数量将会继续增长。其中,中国智能*用户数量将位居全球第一,达到亿,届时将人手一部智能*。而移动市场份额中,谷歌的Android和苹果的苹果iOS两个*作*占据了市场份额的%左右,而其中Android*的智能设备由于其较高的性价比占据了绝大部分的市场份额。  由此可见,智能终端设备已经占据了人们生活的方方面面。日常生活中,几乎每个人都会接触到智能设备,包括定位器、平板、智能手表、智能电视机等,其中又以Android*为主。  移动端使用的开发涉及到许多第三方SDK,而第三方SDK的安全性很难保证。移动端使用的开发为节约成本、快速成型,一般都会运用多种第三方的SDK,包括支付、统计、广告、社交、推送、地图类的第三方SDK。下图所示为经显危镜后台查询的几款常用SDK运用情况统计数据,从图中可以看出运用了该SDK开发的APP非常多。

  而第三方的SDK开发侧重于功能性的完善,在安全性方面的投入较少,导致了今年来由第三方SDK引起的安全事件频发。  第三方SDK安全威胁  近两年已被爆出有安全漏洞的第三方SDK主要有FFmpeg、SQLite、pdfium、个信sdk、chrome内核等,且由于其被广泛运用到大量的APP中,造成漏洞的影响范围非常大。  FFmpeg漏洞概况  FFmpeg的是一款全球领先的多媒体框架,支持*、编码、转码、复用、解复用、流媒体、过滤器和播放几乎任何格式的多媒体文件。  年6月,neex向Hackerone平台提交了俄罗斯最大社交网站VK*的ffmpeg的远程任意文件读取漏洞。该漏洞利用了FFmpeg可以处理HLS播放列表的特点,而播放列表(Playlist)中可以引用外部文件。通过在播放列表中添加本地任意文件的引用,并将该文件上传到*网站,可以触发本地文件读取从来获得服务器文件内容。同时,该漏洞亦可触发SSRF漏洞,造成非常大的危害。

  此外,GearTeam发现的编号CVE--漏洞,FFmpeg在对SWF文件*时,在计算*后数据大小时可导致写入数据超过申请内存空间的大小,从而造成缓冲区溢出。编号CVE--漏洞中发现FFmpeg在处理chunk数据时由于有符号整数到无符号整数类型转换引起的堆缓冲区溢出。  当然,FFmpeg被爆出的漏洞不止上述几种。下图所示为FFmpeg官方的修复记录,从中可以看到每一版本均修复了大量的已分配CVE编号的漏洞,新版本同样会有许多未发掘出的漏洞等待修复。2017安卓使用第三方SDK威胁概况 你的手机真的安全吗? (安卓diy)

  在显危镜后台根据该第三方库的特征规则搜索查询,在库中万多个APP中,有月6万多个APP运用了FFmpeg的第三方开源库的代码,如下图所示约占%。主流的一些*使用几乎都采用了该开源库用于对多媒体文件的处理。从图中可以看出,该第三方库的运用范围是非常大的,一旦被爆安全漏洞,影响范围将是无法估量的。

  SQLite安全现状  SQLite是遵守ACID的关系数据库管理*,实现了大多数SQL标准。它运用动态的、弱类型的SQL语法,包含在一个相对小的C库中。作为一款嵌入式数据库,它因占用的资源非常低,数据处理速度快等优点被Andriod、苹果iOS、WebKit等流行软件采用。  年Black大会上来自长亭科技的议题介绍了基于MemoryCorruption的SQLite漏洞。基于该漏洞,可以攻击常见的运用了SQLite的浏览器,包括Safari、Chrome、Opera等。同时,由于大部分使用本地数据库的储存几乎都采用了SQLite实现,这些使用同样受到该漏洞的影响。基于该漏洞可以造成大范围的用户信息泄露,包括用户在浏览器中填写的用户名、密码、*、*等敏感信息。另外,基于该漏洞可以实现远程代码执行,从而控制用户终端设备,危害是非常大的。

  此外,SQLite也有许多影响严重的漏洞常常被爆出。SQLite从3.3.6提供了支持扩展的能力,通过sqlite_load_extensionAPI(或者load_extensionSQL语句)开发者可以在不改动SQLite源码的情况下,通过加载动态库来扩展SQLite的能力。然而该功能被黑客利用,通过SQL注入漏洞加载预制的符合SQLite扩展规范的动态库,从而实现了远程代码执行,危害非常严重。  当然,SQLite的漏洞并不仅限于这几个。随着版本更新,在功能升级的过程中,每一版本均会被爆出大量的不一样级别的漏洞。每一版本均会在上一版本基础上修改一些bug和漏洞,并可能会添加新的功能。由于精力有限,无法保证对每一行代码都经过安全审核,新发布的版本中很可能存在未被发现的漏洞。在现有技术体系下,产品漏洞挖掘的过程将会是长期存在的状况。

  在Android使用中,只要有本地储存数据的需要,一般均会采用SQLite数据库储存。因此,一旦SQLite被爆安全漏洞,将影响数以万计的Android使用。同时,在某一Android设备中,一般都会预装许多使用或日常运用中安装了许多需要的使用,而这些使用中总会有一款使用运用了SQLite数据库。因此,SQLite的安全漏洞几乎总会影响的该设备。  Chromium威胁分析  Chromium是一个由Google主导开发的网页浏览器,以BSD许可证等多重*版权发行并*源代码。Chromium是Google的Chrome浏览器背后的引擎,其目的是为了创建一个安全、稳定和快速的通用浏览器。  现在,有许多浏览器是基于Chromium开发的,且提供了Win、macOS和Android版本的浏览器。国内的主流浏览器均采用了Chromium内核,包括浏览器、*浏览器、遨游浏览器等。由于终端用户对浏览器均会有硬性需要,PC和移动设备中均会安装各种各样的浏览器,总有一款是基于Chrome内核的。  虽然Chrome是Google开发和维护的,但是也被爆出许多漏洞,影响了基于相当内核版本的其他浏览器。微软于年月日公布了一款藏匿于GoogleChrome的浏览器安全漏洞,编号为CVE--。该问题是由V8JavaScript引擎引起的,通过引起使用崩溃导致攻击者可以在内存*中放置任意的数据。通过精心构造的攻击,该漏洞可以达到远程代码执行(RCE),影响几乎所有基于Chrome内核的浏览器。Google已于今年9月份中旬在Chrome版本修复了相关漏洞。  每年Chrome浏览器都会被爆出许多安全漏洞。如下图所示,每年Chrome均会被爆出大量的多种类型的安全漏洞,影响几乎所有Chrome内核的浏览器。此外,由于漏洞报给Google修复,其他基于Chrome内核的浏览器修复该漏洞需要较长的周期,漏洞的危害还是存在的。同时,其他厂商的浏览器很难跟上Chrome内核的更新速度,以至于很多浏览器还是很久之前的旧版本内核,导致该版本还受以往历史漏洞的影响。

  由于许多浏览器是基于Chrome内核开发的,且Android上许多使用中均会运用到浏览器的功能,一旦被爆漏洞影响将是非常大范围的。  Android*安全趋势  Android是一种基于Linux的*及*源代码的*作*,由Google公司和**联盟领导及开发,主要规划用于触控荧幕移动设备如智能定位器和平板电脑。现在,Android*已经成为现今最流行的智能设备*作*。  Android*中,也运用了大量的第三方SDK组件用于其*底层的基础服务功能,例如蓝牙协议栈实现、HTTPS协议实现、音*编*等。然而,Google运用的这些第三方组件也时常会被爆出有高危漏洞,且鉴于Android*的广泛流行性,影响也是巨大的。下图所示内容为统计的年1月份至月份Android*中修复的第三方组件中的漏洞数量情况。从图中可以看出,第三方组件的安全性严重威胁到了Android*的安全性。

  下图所示为年1月份至月份每月Android*修复的第三方组件漏洞数量,平均每月约有个漏洞影响Android*的安全性。

  总结  在软件开发过程中,大量复用第三方SDK加速产品成型成为普遍现状,而第三方SDK的安全漏洞也将影响这些产品。如FFmpeg、SQLite、Chromium、PDFium等开源库,均在安全漏洞的挖掘上投入了非常多的精力,尚且会被爆出许多高危漏洞影响巨大。也有许多优秀的开源产品,重点将精力投入到功能的开发与完善上,而未经过任何的安全审核。这些开源产品中,代码中很难避免地留有大量的安全漏洞,一旦被恶意攻击者利用将对用户造成巨大损失。  现在,国内存在许多提供给第三方用于快速接入的SDK库,然而其安全现状却令人堪忧。绝大部分第三方SDK均缺乏安全审核环节,造成代码中总是有较多的安全漏洞,影响接入该SDK的使用的安全性。对于缺乏安全审核能力的厂商,我们推荐运用显危镜对Android使用进行线上漏洞扫描,扫描结果报告中将列出风险点供厂商评估修复。同时,针对Android使用中存在较多漏洞,且修复难度较大的问题,Vulpecker在业内首创了安全SDK。在使用发布时接入该SDK,基于运行时修复技术可以在使用中修复绝大多数常见的通用型漏洞,致力于为缺乏Android使用漏洞修复能力的厂商提供简单通用的漏洞处理方案,使其不再受到常规漏洞的侵扰。现在,该安全SDK尚处于内测阶段,稍后会对外公开。

标签: 安卓diy


本文链接地址:https://www.iopcc.com/jiadian/36241.html转载请保留说明!

上一篇:Win8系统中存在不兼容软件怎么维修 (win8系统存储在哪里)

下一篇:隐藏了17年的Office内存破坏漏洞(CVE–2017–11882)分析 (office2016隐藏明细数据在哪)

推荐内容:

美的MC-SY183B电磁炉,上电开机后控制板上按钮开关及电源指示灯均显示正常。但“检不到 ... (美的mc一ep208电磁炉原理图)
电磁炉风扇不转的常见原因 (电磁炉风扇不转可以继续使用吗)

电磁炉风扇不转的常见原因 (电磁炉风扇不转可以继续使用吗)

。故障表现为分析:根据电磁炉原理推测,造成该故障表现为的原因基本可以分为两种情况:一、若电磁炉能正常加 ...

电磁炉无小物检知(不报警) (电磁炉不检测锅的原因)
怎样用u盘安装win7系统?u盘安装win7系统的操作方法 (怎样用U盘安装电视软件)

怎样用u盘安装win7系统?u盘安装win7系统的操作方法 (怎样用U盘安装电视软件)

向小编反映自己想安装win7*,但是自己电脑上没有光驱,想问小编有什么其他的方法可以进行安装,小编在这里推荐使 ...

Win10重装系统一直在准备就绪界面 Win10卡在准备就绪界面 (win10重装系统一直无限重启)

Win10重装系统一直在准备就绪界面 Win10卡在准备就绪界面 (win10重装系统一直无限重启)

,一般都会选择重装*,但是有用户反映自己重装完Win*,就一直卡在准备就绪界面,怎么也进不去了,这该如何维修? ...

谷歌Pixel 4 XL渲染图曝光:浴霸三摄+非全面屏 (谷歌 pixel 4 xl)

谷歌Pixel 4 XL渲染图曝光:浴霸三摄+非全面屏 (谷歌 pixel 4 xl)

亲儿子」Pixel4系列的传闻也渐渐多了起来,最近就有外媒曝光了Pixel4XL的渲染图,几乎将这部还未发布的新定位器外观 ...

将手机文件复制到U盘里的操作方式 (手机文件复制粘贴怎么操作)

将手机文件复制到U盘里的操作方式 (手机文件复制粘贴怎么操作)

越来越强大,几乎堪比一台小电脑,消费者很多工作甚至都可以直接在定位器上完成,不得不说智能定位器为我们的 ...

TCL L43F3300B液晶(MS82T机芯)黑屏 (tcl l48f3300-3d)

TCL L43F3300B液晶(MS82T机芯)黑屏 (tcl l48f3300-3d)

机,二次开机后黑屏背光不亮,屏供电正常LVDS电压正常,因为背光不亮主要检查背光工作条件,背光供电正常V,背光 ...

TCL MS99机芯液晶电视死机故障 (tclms82机芯盲调方法)

TCL MS99机芯液晶电视死机故障 (tclms82机芯盲调方法)

5V给主芯片供电偏高U(MBOOT)或U主程序数据重新烧写 ...

索尼KDL-46X520液晶电视暗屏且图像拉丝的检修思路 (索尼kdl46cx520说明书)

索尼KDL-46X520液晶电视暗屏且图像拉丝的检修思路 (索尼kdl46cx520说明书)

为开机后索尼LOGO显示正常,没有信号源按音量有音量字符显示正常,一旦信号源输入,屏幕出现暗屏幕,偶尔会闪动 ...

Copyright © 2023 武汉电脑维修 All Rights Reserved.

鄂ICP备2023003026号

免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢!邮箱: opceo@qq.com