在过去的一周中,有关非同寻常的安全漏洞的三个消息立刻被发现。 今年,我们已经在这个
问题上遇到了
问题 ,然后我们通过
尖叫声音和通过CSS中的错误窃取个人数据来研究硬盘驱动器的故障。 今天,我们将讨论Android智能手机中的指纹识别功能,一个地方对GMail的攻击以及使用表情符号杀死Skype的功能。
让我们从指纹开始。 智能手机中的指纹扫描仪是现代设备的少数功能之一,可真正使生活更便捷。 它为手机提供了合理的保护,使其免遭篡改,并允许您一键式解锁设备。 智能手机制造商尚未决定扫描仪的位置:根据型号的不同,它会从前面板移动到侧面板,在相机周围移动,而Apple则完全切出其扫描仪以支持面部识别。 腾讯中国研究人员在显示屏正下方的最新版本的指纹扫描仪中发现了一个漏洞。
腾讯研究部门之一的宣武实验室的代表声称,显示屏下绝对配备有指纹扫描仪的所有手机都是易受攻击的(
新闻 )。 这些是最新型号,明年几乎所有旗舰产品都有望使用该技术。 易受攻击的智能手机包括华为Mate 20 Pro和保时捷Design Mate RS,但该制造商已经发布了这些设备的补丁。 其他型号(Vivo,OnePlus和Xiaomi的手机显示屏中带有扫描仪的手机)的漏洞尚未得到证实,但也没有被驳斥。
现有的所有此类扫描仪都可以与显示器一起使用。 当佩戴者将手指放在屏幕上时,屏幕会突出显示表面,微型光学传感器会分析指纹。 问题恰恰是光学识别方法,与传统扫描仪中使用的电容传感器不同。 事实证明,该光学传感器的灵敏度足以识别屏幕表面上的手指,而不是手指。 因此,对电话进行黑客攻击很简单:我们正在等待所有者将手指放在屏幕上,选择电话,在显示屏上保留的指纹上贴上一层箔纸-在这里我们得到了授权。 以华为为例,解决问题很简单:他们更新了识别算法,显然降低了灵敏度。
Gmail-破坏者-未被黑客入侵。 研究人员蒂姆·科腾(Tim Cotten)上周发现(
新闻 ,
专业博客文章 )一种在“已发送邮件”文件夹中放入字母的方法。 一切始于蒂姆在“已发送邮件”文件夹中发现他显然没有发送的信件的事实。 事实证明,如果在发送信件时在发件人的信息中指明收件人的电子邮件,GMail会自动将信件放入适当的文件夹中。
值得注意的是,如果发件人的姓名包含电子邮件地址,GMail本身将不允许发送信件。 但是,当此类邮件到达并且发件人名称中的地址与收件人的地址匹配时,它们将与已发送邮件一起出现在文件夹中。 这可能至少引起困惑,但是这种棘手的技巧还可以增加没有经验的用户打开电子邮件中的恶意链接以试图了解他发送的内容的机会。 后来,同一位研究人员
发现 ,如果您尝试在发件人的名称中插入html标签,则可以在收件箱中收到一条根本没有发件人的邮件。
最后,SEC咨询漏洞实验室在Skype中
发现了一个有趣的错误(现在我们知道是谁在使用它!)。 当然,某些版本的Messenger使用一些非常复杂的算法来显示表情符号,因此在Skype客户端上进行DoS攻击并不困难。 研究人员只是一次开始多次发送表情符号,而当一条消息中的表情符号数量达到数百个时,客户端开始明显变慢。
800张“命运的小猫”-该应用程序冻结了几秒钟。 如果继续发送表情符号,则可以长时间禁用客户端。 该漏洞仅受某些版本的Skype for Business 2016客户端以及之前的版本Microsoft Lync 2013的影响。该漏洞已在本周关闭,但是事实上,在商务版Skype中检测到这种问题的事实告诉我们什么? 那种情感没有工作用! 顺便说一句,微软与情绪化的Skype一起,关闭了32位Windows 7中一个更为严重的漏洞,该漏洞先前由卡巴斯基实验室专家基于对真实网络攻击的分析
发现 。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。