标签： 安卓漏洞

稿源：TheHackerNews 中文化：游侠安全网 亚马逊于 2021 年 12 月修补了一个影响其 Android照片应用程序的高严重性漏洞，该漏洞可能已被利用来窃取用户的访问令牌。 “亚马逊访问令牌用于跨多个亚马逊 API 对用户进行身份验证，其中一些 API 包含个人数据，例如全名、电子邮件和地址，”Checkmarx 研究人员 João Morais 和 Pedro Umbelino说。...

研究人员相信，一些热门智能机对用户活动的监控可能有些过头了。德国布伦瑞克工业大学的一支研究团队发现，234款Android应用包含被称为SilverPush的代码，可以收集嵌入在媒体中或信标发出的超声波信号。

据香港《文汇报》12月2日报道， 网络安全公司Check Point Software11月30日宣布，有黑客利用智能手机安卓系统的漏洞，以恶意软件入侵超100万个谷歌账户，从Gmail、Google Photos等云端服务窃取敏感数据。

据科技网站phoneArena报道，知名安全研究人员盖尔·本尼亚明尼(GalBeniamini)在部分配置骁龙芯片的Android手机上发现一处安全缺陷。利用这一缺陷，黑客可以绕过手机加密功能。

Google在今年1月的Nexus安全公告中修复了名为CVE-2015-6639Android设备的信任区（TrustZone）提权漏洞，其影响到六成采用了高通安全平台的Android设备。四个月后，一名安全人员解释了这个“高通安全执行环境”（QSEE）漏洞是如何被用来攻破Android设备的。

谷歌合作伙伴已经在Android的代码库当中发现了一个可怕且影响深远的安全漏洞。这个安全漏洞由芯片制造商高通引发，高通为了推广其芯片新的网络功能，在不经意间创造了黑客获得访问用户私人数据的方式，可能会影响到成千上万乃至数百万的Android设备。

根据以色列软件研究机构NorthBit发布的报告显示，数以百万计的Android设备容易被黑客攻击。据NorthBit的研究显示，安全隐患来自于Stagefright，它是Android的媒体服务器和多媒体库。谷歌一直在努力维护Stagefright安全。

乌云匿名员工向爱范儿透露，除了已经确认的百度系全家桶应用之外，使用了百度提供的软件开发工具包（SDK）的应用也有许多集体中招，比如途牛旅游、万达电影等等。另外，百度系的 91、hao123 等业务旗下的应用也都有上榜。

FireEye研究人员为我们介绍了“从HTC手机中恢复图像文件”究竟有多么简单。以One Max为例，HTC竟然直接将指纹图像配置文件放在了手机存储的“ /data/dbgraw.bmp”路径下，并启用了‘world-readable’权限。

由于存在漏洞的示例代码，使得超过1000万安装了Cyanogen安卓的用户受中间人（MITM）的攻击，而该漏洞的目标是流行的安卓社区中的任何浏览器。

一年一度的BlackHat大会于北京时间8月7日凌晨在美国内华达州拉斯维加斯召开。安恒信息总裁范渊率领安全技术达人们亲临现场，与来自世界各国的网络安全专家进行深入的探讨和交流。

有白帽子在8月29日开始提交各种android平台上的“远程命令执行”漏洞，隐隐感觉到这是一种通用漏洞类型，通过联系并请教得到这类漏洞的技术细节。该漏洞是android中webview组件里的addJavascriptInterface引起的。

目前有白帽子提交漏洞表明目前安卓平台上的应用普遍存在一个安全漏洞，用户打开一个链接就可导致远程安装恶意应用甚至完全控制用户手机，目前微信，手机QQ，QVOD以及各大手机浏览器均中招。

北卡罗莱纳州立大学（NC State University）的研究人员已经发现，谷歌近期所有版本的Android开放源系统中都存在严重的 SMs phishing（短信诈骗）漏洞，这些系统包括Donut (1.6)、Eclair (2.1)、Froyo (2.2)、 Gingerbread (2.3)和Ice Cream Sandwich(4.0)、和Jelly Bean (4.1)等。研究人员已...

游侠按：今天下午游侠安全网编发了一篇文章《一行代码让Samsung Galaxy恢复出厂值》提到了三星手机中的一些问题（但是经询，可能不仅三星的手机存在此问题），晚上就从CB看到下文，说三星已经修复了此问题。速度很快！ 昨天三星的许多Touchwiz设备面临重大安全问题，Galaxy安卓智能设备仅通过点击链接在浏览器中运行一行代码即可触发设备恢复出厂设置的操作。今天三星以很快的速度通过提供在线系统...