posted by wap, platform: MAC OS X
这个漏洞比那个Stagefright框架的真的不算什么.... Stagefright框架的漏洞已经被称作Android有史以来最严重的漏洞了。

“Google 今日宣布，除了常规的平台升级之外，从本周开始，所有 Nexus 设备每个月都将收到 OTA 升级推送。首个安全更新在 8 月 5 日放出。”

这是做到了改变Android系统更新策略的一个漏洞，Google决定开始为Nexus设备每个月提供升级了，熟悉Android的人自然知道这压力会有多大，自然也想得到这是受到什么级别的压力才会做出的决定。三星已经宣布跟进每个月的升级了，别家还不知道。

BH会议上关于Stagefright的演示代码还没公布，要是公布了估计用不了一周这个漏洞就会被相当一部分人利用起来。
不过我记得这是Day1的议题，现在还没看到估计BH上是不会公开发布了，毕竟影响太大。
没有升级到5.1.1的用户也推荐别用Android下MP4什么的看了，这个漏洞真的很危险。没什么重要资料的倒是无所谓。

posted by wap, platform: MAC OS X

引用:

原帖由 @ppigadvance  于 2015-8-6 17:57 发表
指纹这个事情还是不要轻易开玩笑，密码泄露了可以改，指纹泄露了怎么办？

指纹这个议题是Day2的，等周末再看新闻吧，没看到Live Demo的话我是不相信他们能轻易读走指纹特征的。

posted by wap, platform: MAC OS X
https://www.blackhat.com/docs/us-15/materials/us-15-Zhang-Fingerprints-On-Mobile-Devices-Abusing-And-Leaking.pdf
bh上这个议题的pdf已经出来了，媒体还是说的太夸张了，有兴趣的自己看下吧。
三星华为应该还是没什么问题的，大厂还是比较有实力，HTC简直脑残。

议题主要谈的还是通过伪造与绕过来攻击，并不是直接破解指纹数据。
例如黑客可能伪造出让你解锁，实际上是转账的情形，Android因为开放所以比较容易中招，别Root别乱下App就好了。
有能力的还是尽量用Play吧。我看了下第一天的记录，Google的工程师对Play上App的审核还是下了挺多工夫。

不过我还是引用一段乌云的评论

引用:

个人总结：相对Andrian在之前大会上的演讲，Android security team已经没有以前的自信了，以前总是说Android绝对安全，那些病毒和漏洞的消息只不过是媒体夸大罢了。这次演讲的态度却有很大转变，首先表示Google可以在漏洞出现的时候尽量第一时间patch。然后又公布漏洞奖励计划，鼓励大家第一时间提交漏洞信息。明显感觉对自己一家搞定android安全没有太大信心了。

这次的libstagefright真的太严重了。

担心丢指纹数据要砍手的也可以继续用了，没什么事。

本帖最后由 zztg 于 2015-8-7 22:00 通过手机版编辑

posted by wap, platform: MAC OS X

引用:

原帖由 @jjx01  于 2015-8-7 00:49 发表
不能，加密过的数据没解密没用

就如你盗了某女的u盘，里面有她的裸照，然而这些裸照是放在rar压缩包里的，加了个密码
然后就称某女裸照泄露……

看加密手段了吧。这bh会上就提到了指纹特征数据的复原。


只能说一些厂商做指纹赶鸭子上架做的太急了。

posted by wap, platform: MAC OS X
最好笑的还是HTC ONE，它的指纹特征数据是任何人都可读可写的。(应该是加密过的）（已经修复了）


本帖最后由 zztg 于 2015-8-7 21:54 通过手机版编辑