轉貼:Android 4.3 安全漏洞,Apps 可撤銷所有系統鎖定功能
阿恆
原文網址:Android 4.3 安全漏洞,Apps 可撤銷所有系統鎖定功能 (原文網站已關閉)
Google 在九月宣佈 Android 手機新增一項功能,用戶可以遙控把手機鎖定,當手機被盜或違失時特別有用,新功能會撤銷本來的鎖定設定,並設定密碼保障手機的安全。這本來是一個好主意,但是有人發現 Android 一個安全漏洞,Apps 可以撤銷 Android 4.3 所有鎖定功能,令這個遙控鎖機功能形同虛設。更令人驚訝的是,發現這個漏洞的公司向 Google 通報,但 Google 一直不作回應,他們唯有把問題公開,希望用家關注。
這個漏洞由德國的 Curesec Research Team 發現,Android 操作系統讓用家使用密碼、手勢、或面孔識別來鎖定及解鎖手機,若果手機安裝了意圖不軌的 Apps,它可以繞過這項安全要求,無需知道解鎖方法和密碼也可以把手機解鎖。該公司說:
漏洞來自com.android.settings.ChooseLockGeneric 類別,這個類別是用來給用戶修改鎖定的機制。