登入  |  English
感謝您對「自由軟體鑄造場」的支持與愛護,十多年來「自由軟體鑄造場」受中央研究院支持,並在資訊科學研究所以及資訊科技創新研究中心執行,現已完成階段性的任務。 原網站預計持續維運至 2021年底,網站內容基本上不會再更動。本網站由 Denny Huang 備份封存。
也紀念我們永遠的朋友 李士傑先生(Shih-Chieh Ilya Li)。
電子報總覽

Android 手機 T-Mobile G1 開賣數天首見安全漏洞

以 Android 為基礎的 T-Mobile G1 手機,在 T-Mobile 開始販售數天後,被發現第一個安全漏洞。ISE (Independent Security Evaluators) 宣稱發現 Android 手機的瀏覽器中的漏洞,攻擊者可利用此漏洞入侵手機。

ISE 的安全專家發現 Google 所發展的 Android 軟體上存在一項嚴重的安全風險。透過 Android 手機瀏覽經過特殊設計的網站,攻擊者將可在手機植入程式碼加以執行。ISE 宣稱問題癥結在於 Google 使用的某開放源碼套件版本過於老舊。

在 Google 針對此一漏洞做出修補前,ISE 對於該漏洞的其他細節,不願多加描述。然而他們僅表示 Android 的用戶造訪惡意網站時,手機內的資訊有可能會遭到竊取,例如儲存在手機上的密碼等資訊。

此一漏洞並非首見於 Android 手機上,而是過去已知且已經解決的漏洞。然而 Google 並未將漏洞修補整合到 Android 中。

ISE 的 Charlie Miller 向紐約時報表示,他跟同事已經成功入侵 G1 的作業系統。這個問題跟 T-Mobile G1 的最主要賣點相關。在 HTC 的手機上的 Android OS 是完全開放的,對於第三方應用軟體開發者而言,此一特性相當有利,然而,同時這也為駭客打開了另一扇門。

Miller 與他的團隊入侵系統並非為了犯罪,而是向廠商顯示他們的系統並不安全,促使軟體公司提供程式修補。除了 Android,Miller 等人也成功入侵過經常與 Android 手機相提並論 的 iPhone 以及 iTouch 等裝置。

隨著 G1 銷售起跑與原始程式碼釋出,其他製造商亦躍躍欲試在不遠的將來推出 Android 為基礎的手機。其中包括已經表態的 Motorola。任何新軟體的釋出,多少都伴隨著臭蟲與漏洞,加上 Android 開放源碼的特性,勢必會獲得開放源碼社群更多的關注。一旦有更多雙眼睛在檢視程式碼,和其他將程式碼封閉的廠商相較之下,此意味著將有越來越多潛在漏洞被發現。

由於植入手機的程式碼僅具有瀏覽器權限,無法完全控制手機。此外,Google 在 Android 作業系統上採取將各應用軟體與主要系統區隔的架構,隔絕了潛在的安全漏洞,因此 ISE 也表示基於此一漏洞的本質與該手機的設計架構,攻擊者無法控制如撥號在內的手機功能,使用者無須擔心手機受到駭客控制。然而,ISE 也提到,植入的木馬程式可安裝於瀏覽器的記憶體空間,使攻擊者有權取得瀏覽器使用到的任何資訊,如網站的 cookies,以及鍵入網路應用軟體的輸入資訊與儲存的密碼等。

Google 已獲悉此問題,並在聲明中表示正在設法解決。Google 提到,該公司正與 T-Mobile 合作針對此瀏覽器漏洞提供修補,之後將更新至所有裝置上,也會納入 Android 開放源碼平台中。Android 開放源碼專案將用戶安全與隱私至於最重要地位,此一事件不會對用戶產生負面影響。


相關網址:
1.Android 的瀏覽器被發現安全漏洞
2.Android 行動手機有安全漏洞
3.Google 開放源碼 Android 遭入侵



您也許有興趣閱讀以下文章:




自由軟體鑄造場電子報 : 第 115 期 【新酷音輸入法】

分類: 源碼新聞