Pork Explosion漏洞:它是如何被用于创建Android后门程序的?
2023-09-11 14:22:16 时间
在设备制造商富士康的应用引导程序中发现了可创建Android后门Pork Explosion的漏洞,虽然受影响设备范围不大,但该漏洞可能带来严重风险。在这种情况下,该应用引导程序是如何创建后门程序的?
研究人员Jon Sawyer在InFocus和Nextbit智能手机中发现一种漏洞,该漏洞是富士康在设备构建和组装过程中引入的。
该后门程序是在富士康设计和制造过程中创建的,它似乎是调试环境的一部分,用于在开发阶段对设备进行故障排除。在调试环境中这是必要的做法,但这应该在批量生产之前予以禁用,以保护设备的安全性。
Pork Explosion漏洞允许攻击者通过USB连接以在启动时通过应用引导程序获得无限制的root shell访问。该引导程序会执行硬件初始化的基本任务,并加载Linux内核。在此期间,内核保护不可用。
如果可对易受攻击的设备进行物理访问,这个漏洞的风险很高,但由于这些设备并没有被三星或其他主要制造商那样广泛地部署,风险不算太高。
Nextbit通过移除调试环境中使用的文件系统修复了此漏洞。
那些外包设备或组件制造的企业可能会希望检查其供应链以确定他们是否面临与Pork Explosion类似的漏洞。如果是这样,这些企业可能会试图加强供应链安全性以防止通过这种方式引入漏洞。
企业还应该确保其供应链的第三方对其向设备中引入的任何漏洞负责,因为企业可能无法自己修复这些漏洞。
本文转自d1net(转载)
相关文章
- [Android Pro] 利用tcpdump和wireshark对android网络请求进行分析
- [Android Traffic] android 流量计算方法
- Android教程-android studio 制作.9 图片
- 导入旧版本Android项目时的“Unable to resolve target ‘android
- 《android开发艺术探索》读书笔记(十)--Android的消息机制
- Error : Program type already present: android.support.design.widget.CoordinatorLayout$
- macos安装android studio(Android Studio 2021.1.1)
- Android开发切换host应用
- 创建一个Android模拟器
- 转-Android微信支付
- 《android开发艺术探索》读书笔记(十)--Android的消息机制
- macos安装android studio(Android Studio 2021.1.1)
- Android stuido 解决Caused by: android.view.InflateException: Binary XML file line #8: Binary XML file
- android 7.1 打开系统服务socket连接日志
- Android【报错】Failed to resolve: com.android.support:appcompat-v7:28.0.0-alpha【报错】
- Android【报错】This class should be public (android.support.v7.internal.widget.ActionBarView.HomeView)
- Android SwitchCompat和checkbox
- Android 12.0 修改wifi信号强度
- Android实现获取未接来电和未读短信数量的方法
- android 获取生肖和星座
- (Android 即时通讯) [悬赏],不管是谁发现一个漏洞奖励人民币1000元!
- Android多媒体开发-- android中OpenMax的实现整体框架
- Android 开源项目android-open-project解析之(三) ScrollView,TimeView,TipView,FlipView
- Android系统设置— android.provider.Settings
- 【Android-JetpackCompose】12、动画、state、性能优化
- Android 自定义的验证码输入框(无光标),android版本10暂时不支持自定义粘贴
- Android开发 上下拉刷新ListView——自定义PullView
- android按键计时器
- Android Studio NDK报错:mips64el-linux-android-strip 找不到