Google 修復了影響 Pixel、Nexus 手機的致命加密 Bug

Google 本週釋出了 12 月份的 Pixel/Nexus 安全公告，其中修復了一處致命的加密問題，一同釋出的還包括其它 49 個補丁程式。

這些漏洞中有 5 個屬於高危，包括 1 個 EoP 漏洞（CVE-2017-13167）和 4 個 DoS 漏洞。而唯一的致命漏洞（CVE-2017-14907）則與 “高通閉源元件” 存在關聯，該漏洞會削弱手機的加密強度。

CVE-2017-14907 的描述中寫道：“對於 Android MSM、Firefox OS MSM、QRD Android 和基於 CAF Linux 核心的 Android 版本，在金鑰派生的過程中會降低手機的加密強度。”

Android CAF（Custom Android Firmware）是為支援高通晶片組而開發的 Linux 核心分支。而高通 MSM 晶片是為舊型號的高階手機生產的處理器，Android MSM、Firefox OS MSM 和 QRD（Qualcomm Reference Design）Android 都屬於 Android 的專案，用於擴充套件對高通 MSM 晶片的支援。

據知情人士透露，該漏洞是在 5 月份時發現的，高通當時就進行了修復並將更新發給了相關合作廠商。而高通也拒絕就此漏洞發表評論。

此外，Pixel/Nexus 安全公告恰好是和 Android 安全公告同一天釋出的，後者包含 47 個補丁，其中有 10 個屬於高危。最嚴重的是 Media 框架中的一個安全漏洞，攻擊者可以藉助精心構造的檔案在特權程式的上下文中實現任意程式碼執行。

這些受影響的 Media 框架編解碼器是 libmpeg2、libhevc、libavc 和 libskia，相應的漏洞編號為：CVE-2017-0872、CVE-2017-0876、CVE-2017-0877、CVE-2017-0878 和 CVE-2017-13151。

Google 在 Android 安全公告中同樣提到了高通關鍵元件漏洞，其中有 3 個也與 RCE 有關，其它受影響廠商還包括 Broadcom、MediaTek 和 NVIDIA。

目前補丁已經通過相關廠商進行了推送，使用者應儘快更新。

原文連結：https://threatpost.com/google-patches-critical-encryption-bug-impacting-pixel-nexus-phones/129100/

本文由看雪翻譯小組 BDomne 編譯

---

虛擬鍵盤APP 超過3千萬使用者記錄洩露

近日，又發生一起資料洩露事件，鍵盤APP——AI.type 所收集的使用者個人資料洩露。

Kromtech Security Center 的一些安全研究員在網上偶然發現超過3千萬該軟體使用者的個人資料。這些資料位於 MongoDB 資料庫，完全暴露在網上，並無任何保護機制。

這個配置錯誤的MongoDB 資料庫似乎屬於Ai.Type，一個電話 Aviv-based 的創業公司, 為移動裝置和平板電腦設計和研發個性化的鍵盤，包括 Android 和 iOS 裝置。

此次共有約577G資料洩露，其中還包括一些使用者的敏感資訊，安全研究員目前能夠獲取約31,293,959個使用者的資料和細節。

洩露的資料包括：

1. 使用者名稱、電話號碼、和郵件地址
2. 裝置名稱、螢幕解析度和型號
3. Android版本、IMSI號和IMEI號
4. 行動網路名稱、居住地址和使用者所使用語言
5. IP地址，GPS地址（經緯度）
6. 社交賬號相關連結和資訊，包括生日、郵件和照片

讓人震驚的是，使用者下載Ai.Type時，必須允許該裝置可以訪問儲存在該裝置上的所有資料。

為什麼一個鍵盤和表情應用程式需要收集使用者手機或平板電腦的所有資料呢？

洩露的資料庫包含6,435,813 個記錄是使用者的通訊錄資訊，還有超過3億7千3百萬註冊使用者的手機資訊，其中包括所有的通訊錄和同步的Google賬戶。

還有一系列其他統計資料, 如最受歡迎的使用者對不同地區的 Google 查詢。資料如每天的平均訊息、每條訊息的單詞、使用者的年齡等等。

這些資料對這款鍵盤軟體而言不是必需品。那為什麼一個鍵盤和表情應用程式需要收集使用者手機或平板電腦的所有資料呢？這一點讓人困惑。

這個故事告訴我們，每當我們下載一個APP，我們被攻擊的可能性就增加一倍。而大多數情況下，使用者並不清楚該軟體究竟收集了多少資料，而這些資料會被用來做什麼。

來源：securityaffairs

本文由看雪翻譯小組 哆啦咪 編譯