你觉得在使用数字货币热钱包时,Android 和 iOS 哪个系统更好些?

转载 | “水滴”漏洞:一个让安卓内核如纸片般脆弱的通杀漏洞

在科幻小说《三体》里,最黑暗最狂暴的武器,莫过于一种叫“水滴”的宇宙探测器。它的原子核被强互作用力锁死,温度处于绝对零度,形似水滴,却无坚不摧。在末日之战中,仅一个水滴就摧毁了人类太空武装力量 1993 艘战舰,并且封锁了太阳的电波放大功能。

无独有偶,在Android的内核世界里,潜伏着一枚具有同等杀伤力的“内核通杀”型漏洞,仅用一个漏洞便可以实现任意地址读、任意地址写、写任意内容、信息泄露,甚至沙箱逃逸,几乎堪称攻破Android系统最完美的“杀器”。鉴于其惊人的破坏力,这枚漏洞的发现者——360 C0RE Team将它命名为“水滴”漏洞。

首个发现“水滴”漏洞的存在,

成功ROOT了谷歌最高内核防御水平的Pixel 3手机

3月5日,Google发布最新安全公告,“水滴”漏洞被正式公开(编号为CVE-2019-2025),而发现并提交该漏洞报告的360安全团队获得了Google官方的郑重感谢,并获得14000美元的漏洞奖励。

“水滴”漏洞的公布,就如同一颗落在广大安卓用户掌心上的“定时炸弹”被曝光,而最初它是如何被发现和公开利用的呢?早在2018年8月,360安全大脑在对Android内核代码进行安全审计时,就监测到了这枚“水滴”漏洞的存在,并确定其攻击能力和威胁范围“通杀”国内外绝大多数Android机型。

水滴“核”穿,无坚不摧。果然在2018年11月,360安全团队又测试证实了“水滴”的真实威力,并完美实现了对Google 旗下Pixel系列所有机型的ROOT攻击,这其中包括由Google公司亲自操刀打造的Pixel 3XL手机。要知道,在安全圈内,Google的Pixel 3XL是目前公认的最难攻破的手机,它拥有着安卓内核最高的安全防御水平,而它的陷落意味着安卓内核这座坚固的“堡垒”将如“纸片”般脆弱。

值得一提的是,尽管Google官方每年公开的内核漏洞数量多达数百个,但真正能够成功提权的寥寥无几。再随着系统防护的不断完善,此前一些可以用来ROOT的漏洞在现有的防护机制下也变得无能为力,而360团队此次发现的具备了任意地址读写、信息泄露能力,同时还可能用于沙箱逃逸的漏洞相当罕见。

利用“水滴”漏洞成功提权后可以获得系统的最高权限,同时该漏洞可能被用于远程攻击链,若是被黑产从业者利用可能对Android用户的个人隐私安全、财产安全甚至人身安全造成严重的危害,因此360安全专家建议各家Android厂商需尽快修复该问题,避免用户暴露在安全风险之中。

原文链接https://www.toutiao.com/a6665427599419769355/?tt_from=weixin&utm_campaign=client_share&wxshare_count=1&timestamp=1551924054&app=news_article&utm_source=weixin&iid=64459131120&utm_medium=toutiao_android&group_id=6665427599419769355

2 Likes

我没用过iOS的,安卓的用着还不错

必须选 iOS,安卓真的不放心,系统太开放了。

iOS 最近也爆了两个漏洞,一个是 Facetime,haiyou App 可以绕过系统权限,访问相册。。。

不要拍照截图的方式保存私钥,但是如果也有漏洞的话,真的是五十步笑百步了。

还是买 imKey 吧:smiley:

自从进了互联网,我就没想过要隐瞒什么。:upside_down_face:

我们在传统互联网中,和裸奔没什么区别

1 Like

Root 之后数据会被清掉,黑客也拿不到什么,可以自己编译 AOSP

还是IOS的安全性高些

IOS不越狱,Android不root。其它其实都不是问题

360无敌

安卓方便,
os费劲