スマホ関連の海外ニュースです。
2017 年 3 月の Android のセキュリティ情報には、デバイスからのデータをリーク、ASLR を破る、電話を工場出荷時設定にリセットまたは Android HBOOT ブートローダーにもアクセスに活用できるヘッドフォン オーディオ コネクタ経由で悪用可能なユニークなセキュリティ上の欠陥のバグ修正が含まれています。 ロイ ・ エルスベルグ干し草と鷺 Kedmi、アレフ セキュリティからの 2 人の研究者によって発見された問題は、2013 年のセキュリティ専門家が使用する方法を示したときに安全保障会議多重 Android スマート フォンに接続および通信する有線インターフェイス Black Hat で発表された研究から派生します。 彼らの研究は、実際の USB ソフトウェア インターフェイスを使用せず USB ポート経由でデバイスへのアクセスに焦点を当てた。彼らの研究は、オーディオ ジャック コネクタ経由でデバイスへのアクセスの概念にのみ簡単に触れるチームのセクション 5 で変更された UART ケーブルを使用します。 今、自分の仕事にアレフのチームは拡大し、オーディオ ジャックに接続されている同様に変更された UART ケーブルを使用して、彼らは、彼らは正常にネクサス 9 デバイス上の FIQ (高速割り込み要求) デバッガーをアクセスと言います。 研究者によるとこの FIQ デバッガーはアクティブにするには再起動を必要としないし、利用可能な Android の OS はすでに場合でもコマンドへの応答と実行中。これは、同様の多重有線攻撃と比較して搾取を簡素化します。 さらに、デバッガーが豊富なコマンドに応答に攻撃者を許可する: 最高の重大度レベルは、CVE-2017-0510、Google の評価として「緊急」の脆弱性を追跡します。攻撃者は、ユーザーをリフラッシュする必要があります携帯電話の OS を破損することが重要なレベルの分類の理由は (再インストール)、オペレーティング システム。 2017 年 3 月中は Android のセキュリティ情報が不足している詳細については、「Google は FIQ デバッガーの機能を減らすことによって脆弱性をパッチ」干し草は言う。 Google の無関係な Android のセキュリティ ニュース、今週、月曜日に公表、3 月のセキュリティ更新は、Android の SafetyNet API、重要なセキュリティ機能を壊した後がネクサス 6 デバイスの Android OS イメージに引っ張ってもいます。ネクサス 6 デバイスの所有者は、3 月の待たなければならないセキュリティ更新もうしばらく。
続きを読む…
Android Patched to Protect Users from Getting Hacked via Headphones Connector
The Android Security Bulletin for March 2017 contains a bugfix for a unique security flaw exploitable via the headphones audio connector that could be leveraged to leak data from the device, break ASLR, reset phones to factory settings, or even access the Android HBOOT bootloader. Discovered by Roee Hay and Sagi Kedmi, two researchers from Aleph Security, the issue derives from research presented at the Black Hat security conference in 2013, when security experts showed how to use multiplexed wired interfaces to connect and interact with Android smartphones.
Read more…
