圖片來源: 

IBM

IBM安全研究人員揭露,代號為Jelly Bean的Android 4.3中的KeyStore服務含有安全漏洞,可能造成使用者儲存於該軟體中的金鑰外洩。

KeyStore是Android平台上專門用來儲存各種程式金鑰或密碼的服務,以讓使用者在登入程式時不需重新鍵入密碼。

不過,IBM安全研究人員發現,KeyStore有一堆積緩衝溢位漏洞,駭客可能藉以存取KeyStore中所儲存的各式金鑰,或是以使用者身份登入相關服務。幸好Android平台內建許多安全機制,提高了攻擊門檻。

企圖攻擊該漏洞的駭客必須先打造一支惡意程式,然後說服使用者下載及安裝,也必須繞過Android上的DEP、ASLR、Stack Canaries等安全機制,即使到達了KeyStore,也不一定能存取KeyStore儲存的所有金鑰。

IBM是在9個月前發現此一漏洞,當時先告知了Android安全團隊,此一漏洞僅影響Android 4.3,在Android 4.4中已修補該漏洞。但根據Google的統計,目前市場上仍約有10.3%的Android裝置執行該版本的作業系統。(編譯/陳曉莉)

 


Advertisement

更多 iThome相關內容