⏰ 🤭 🌽 安全周09：谁负责Android安全？ 🏳️‍🌈 🌪️ 🚶🏾

上周仅有几条新闻涉及Android平台的安全性。由Google Project Zero小组进行的三星智能手机安全性研究最为有趣。在Samsung Galaxy A50模型中（也可能在其他模型中，但尚未经过验证），制造商已在Linux内核中构建了自己的代码，该代码负责过程验证。 Process Authenticator系统旨在增强智能手机的安全性：启动应用程序和系统服务时，它将验证数字签名。

检查的进程数量相对较少。根据独特的签名格式，研究人员只发现了13件，其中包括与蓝牙和Wi-Fi配合使用的服务。一位来自Google的专家创建了一个场景，其中调用了过程身份验证器系统来“检查”恶意应用程序，并且三星代码中的许多漏洞都允许扩展权限。给出了从电话授权的帐户数据库中读取数据的示例。由此得出以下结论：修改提供者（即Google的）内核并不总是一个好主意。在这里，一篇完全技术性的文章进入了政治层面，并引发了Android生态系统参与者之间的交互主题：谁应该负责软件的安全性，智能手机开发人员是否应该为此目的限制代码修改？

至少有媒体将这项研究解释为Google的一项礼貌要求，即不得干扰该代码。在研究中，它的表述如下：不要触摸核心。理想情况下，在编写设备驱动程序时使用安全的内核交互技术。它还提供了另一个示例，说明某个特定供应商与Android开发人员的工作不完美（说得有点不对劲）。在2018年9月，在Linux内核中发现了一个错误，并很快修复了该错误，但是该补丁未从2019年11月起通过安全更新到达特定的三星手机（仅在今年2月的更新中已修复）。也就是说，三星拥有信息，有可用的补丁程序，但是由于某种原因（可能与制造商自己的代码冲突而导致补丁程序），因此没有使用它。

这项有趣的研究详细显示了Android平台的碎片是如何工作的，以及它如何直接影响安全性（更新迟到）和间接影响安全性（添加了自定义代码，这本身可能很容易受到攻击）。但是，解决这个问题以及对其严重性的评估不再是技术性的讨论，而是遵守各方利益的问题。

Android生态系统的传统问题是恶意应用进入官方Play商店。 Check Point Research最近从存储库中发现了九种应用程序，这些应用程序带有一种称为Haken的新型恶意代码。它允许您监视用户并将其订阅付费服务。 Google在一月份被删除从Play商店中使用恶意Joker平台的17,000个应用程序中：代码被很好地隐藏了，并且程序在发布之前成功通过了测试。上周，Google 删除了600多个讨厌的广告应用。

发生了什么： WordPress插件中的
另一个严重漏洞。用于备份和站点传输的Duplicator附加组件可用于未经授权从服务器免费下载文件，例如，包括用户登录名和密码的数据库。

Adobe 发布一个非凡的更新，涵盖了After Effects中的两个关键漏洞。紧急更新的意外目标，但漏洞很严重-使用此程序的预备文件，您可以执行任意代码。

新的数据泄漏：MGM Resorts客户数据库已在黑客论坛上浮出水面。超过1000万个条目包括MGM Grand Las Vegas赌场访客的访客信息。个人信息，联系信息而不是付款数据已公开可用。正如预期的那样，受害者中有许多名人。

有趣的学习有关基于Windows的医疗技术中的BlueKeep漏洞的信息。远程桌面协议中的此错误已于一年前关闭，但据CyberMDX称，用于Windows的医疗设备中有一半以上在未更新的OS版本上工作。

Amazon Ring为网络摄像头用户引入了双重身份验证。该创新与对弱（或可重用）用户密码的大量攻击相关，因此，破解者可以访问视频数据，甚至可以直接与受害者联系。去年12月，传统媒体也写了几处此类骇客。

埃及研究提高验证各种设备的固件更新，包括例如触摸板，适用于Lenovo，HP和Dell笔记本电脑的Wi-Fi模块。从理论上讲，缺少数字签名意味着您可以在用户不知情的情况下刷新这样的模块，从而绕过标准的更新交付系统，同时在代码中添加恶意功能。

安全周09：谁负责Android安全？

More articles: