事情的起因是测试部出于测试目的,搞了个刷机工具,但是不怎么会用,于是请教于我,于是研究了下,有点感触,特意记录下。
两个漏洞,都是2013年的,并且都是致命的,虽然相关的介绍只是一个编号和几行干巴巴的介绍,但是因为这两个漏洞存在于大量的Android系统中,所以其破坏力和影响都是比较大的。
Missing access checks in put_user/get_user kernel API (CVE-2013-6282)
Integer overflow in range check when mapping framebuffer memory (CVE-2013-2596)
第一个漏洞允许用户程序修改内核空间。
第二个漏洞将允许将内核空间影射到用户空间。
利用方法见:
https://github.com/hiikezoe/android_run_root_shell
总结一下吧:
虽然这两个漏洞都是13年的,尽管大部分的手机都已经修复了漏洞,但是现在仍然有不少的安卓设备存在这个漏洞。
从这两个漏洞可以看出,操作系统在漏洞面前是多么脆弱,在系统漏洞面前,你的手机将没有任何的隐私可言。
1、如果自己的手机提示有更新,一定要在第一时间更新。要注意,手机厂家是不会直接告诉你升级已经解决了多么严重的问题,所以有更新千万不能大意,认为无关紧要。
2、有些手机root后就没法更新了,所以如果没有特殊情况,还是不要root吧。
3、尽量不要刷机,那些刷机包一般都是会悄悄的预置一些额外的软件,这些软件会做什么事很难预科,并且刷机后升级是个问题。
4、尽量不要安装来路不明的软件。
5、终极解决方法:换回现在已经被扔在某个角落里的没有上网功能的功能机吧。