漏洞風波再起，你認為最安全的那個平台真的安全麼？

MWR 實驗室近日公佈了 Android 的又一安全漏洞，攻擊人員可以通過一些手段繞過 Android 的沙箱機制。
從本質上來説，Android 通過使用沙箱的概念來實現應用程序之間的分離和權限，以允許或拒絕一個應用程序訪問設備的一些資源。

Threatpost 詳細介紹了 MWR 實驗室所提到的這個漏洞的工作原理：

引用當 Google Admin 應用程序接收到一個 URL ，並且該 URL 是通過同一設備上任何其他應用的 IPC 調用接收時，Admin 程序會將這個 URL 加載到它活動內的 Webview 中。這時若攻擊者使用一個 file:// URL 鏈接到他們所控制的文件，那麼就可以使用符號鏈接繞過同源策略，並接收到 Admin 沙箱中的數據。

Threatpost 還介紹稱，MWR 早在三月份就向 Google 方面遞交了這個漏洞問題，不過在如今的補丁包中仍未看到 Google 對這個漏洞做出任何反應，於是 MWR 決定公佈這個消息，並提醒用户儘量不要安裝不可信的第三方 APP。
不過似乎最近關於 Android 安全的問題就沒消停過。

上月底的時候，Android 就曾曝出彩信漏洞的問題。網絡安全機構 Zimperium 在 Android 上發現了一個嚴重漏洞——Stagefright。黑客只需要通過用户的手機號碼，並以發送彩信的方式執行惡意代碼，然後就可以控制用户手機。這個漏洞波及了 9.5 億左右 Android 設備。

雖然 Google 很快對這個漏洞給出了相應的補丁包，不過外媒表示部署到全部用户則需要幾個月的時間。

此前 ZDNet 也報道過一些黑客可以使用“指紋傳感器監視攻擊方法”，在一些廠商的 Android 設備中隨意竊取用户的指紋數據，黑客們已經在 HTC 及三星手機上成功演示攻擊過程。

Google 曾在今年的六月份公佈“安全獎勵計劃”，鼓勵社會上的安全人員發現 Android 系統上存在的問題或漏洞。不過 Google 的原意是想讓更多的技術人員參與進來，讓自己的 Android 平台更安全，但似乎一波一波的安全問題正掀起網民對 Android 平台的激烈討論。

無獨有偶，Mac 平台在昨日也剛剛曝出 0day 漏洞。意大利的一名開發者發現，OS X Yosemite 存在的漏洞將允許攻擊者無需密碼直接獲得 root 訪問權限，而這個漏洞影響到 Yosemite 的每一個版本。
當然，蘋果的 iOS 也曾曝出過相當多的安全漏洞，此前 iOS 的鎖屏漏洞可謂修修補補經歷了好幾個版本；以色列公司也曾通過虛假 WiFi 成功攻擊 iOS ；去年因 iCloud 的安全問題，還曾曝出多位明星的豔照。

我們正在使用的 iOS 8 系統甚至被網民戲稱為“史上 BUG 最多的 iOS”。

此前微軟 IE 也曾曝出多次嚴重漏洞，微軟也在今年的黑帽大會上舉行了漏洞大獎賽，鼓勵用户上報 Windows 10 的 BUG 及漏洞。

題圖來自 123RF


資料來源：愛範兒（ifanr）
作者/編輯：王 飛