android bootload漏洞,一加6手机的Bootloader漏洞可让攻击者控制设备
你近期是否购买了一加6手机,或正计划购买一部呢?看完这篇报告性的文章,你可能会望而却步。因为,最近安全研究人员披露在OnePlus 6 bootloader中,存在严重的安全漏洞,即使bootloader被锁定,也可以由他人启动任意或修改过的images,并最终完全控制你的手机。
引导加载程序( bootloader)是手机内置固件的一部分,将其锁定可以阻止用户使用任何未经认证的第三方ROM,来更换或修改手机的操作系统,从而确保系统引导至正确的操作系统。
Edge Security的安全研究员Jason Donenfeld发现,OnePlus 6上的引导加载程序竟然未被完全的锁定,这意味着任何人都可以将任何修改过的image刷入手机上并完全控制手机。
在视频中Donenfeld展示了攻击者是如果通过物理访问设备,使用ADB工具的fastboot命令启动被修改的恶意image,并最终完全控制受害者设备的过程。
视频演示
正如你在视频中看到的那样,攻击者甚至不需要开启USB调试模式,只需将受害者的OnePlus 6通过数据线插入其计算,重启手机进入Fastboot模式,然后通过修改后的启动映像进行传输即可。
以上步骤仅需短短的几分钟就能完成。因此,为了你的手机的安全,这里建议大家不要让你的手机轻易的离开你的视线,或交由他人和陌生人保管。
,FB小编 secist 编译,转载请注明来自FreeBuf.COM
android bootload漏洞,一加6手机的Bootloader漏洞可让攻击者控制设备相关推荐
- 一加点击android系统时间,一加6手机系统迎来更新,一加让你快速吃“派”
今年8月7号,谷歌正式发布最新Android系统--Android Pie.作为老大难的问题,手机厂商更新系统时间拖延一直让谷歌无能为力,不过,一加已经做好了迎接Android Pie的准备. 昨晚1 ...
- android bootload漏洞,诺基亚 5/6 第一代 Bootloader 漏洞解锁方法 (测试)
该楼层疑似违规已被系统折叠 隐藏此楼查看此楼 本文非小白向,如果无法看懂本教程的过程请绕行 前提条件: 1.(必须)使用旧版本Bootloader,也就是Android 7.X时期的aboot 2.( ...
- Android手机App安全漏洞整理
APP安全漏洞整理 1.源码安全漏洞 1.1 代码混淆漏洞 当前APK文件的安全性是非常令人堪忧的.APK运行环境依赖的文件/文件夹 res.DEX.主配文件Lib 只有简单的加密或者甚至没有任何加密 ...
- Android手机App安全漏洞
1.源码安全漏洞 1.1 代码混淆漏洞 当前APK文件的安全性是非常令人堪忧的.APK运行环境依赖的文件/文件夹 res.DEX.主配文件Lib 只有简单的加密或者甚至没有任何加密.诸如apktool ...
- Android手机App安全漏洞整理(小结)
本文主要介绍了APP安全漏洞整理,分享给大家,具体如下: 1.源码安全漏洞 1.1 代码混淆漏洞 当前APK文件的安全性是非常令人堪忧的.APK运行环境依赖的文件/文件夹 res.DEX.主配文件Li ...
- Appium 移动端自动化 - Android SDK连接安卓手机,adb连接一加8手机USB调试实例演示,连接一加8手机不显示USB调试选项问题排查
Android SDK 连接安卓手机过程演示 第一章:一加8手机连接过程 ① 启用开发者模式 ③ 开发者选项启用 USB 调试 ③ 手机连接 USB 调试 ④ 手机连接不显示 USB 调试选项问题排查 ...
- Android 10 加载手机本地图片
Android 10由于文件权限的关系不能使用图片路径直接加载手机储存卡内的图片,除非图片是在应用的私有目录下,所以在Android 10以后,下面的代码无法加载图片. Bitmap bitmap = ...
- android 28是什么手机型,一加6手机参数曝光 6.28英寸屏幕 搭载Android 8.1系统
原标题:一加6手机参数曝光 6.28英寸屏幕 搭载Android 8.1系统 日前,在工信部网站上已经曝光了一加即将发布的新手机一加6的相关参数信息,除了之前已经确定的搭载骁龙845处理器,最高8GB ...
- 360 android 漏洞,360发布安全报告 99.99%的安卓手机存在安全漏洞
原标题:360发布安全报告 99.99%的安卓手机存在安全漏洞 [CNMO新闻]近日360互联网安全中心发布"2018年度安卓系统安全性生态环境研究报告",报告数据来自" ...
最新文章
- Android应用如何开机自启动、自启动失败原因
- 20155337祁家伟做中学
- Oracle的PL/SQL编程前奏之基础技能实战一(匿名子程序)
- 微信小程序服务器开小差了,微信小程序wx.request请求封装
- python用input输入列表有缺陷_Python 三程三器的那些事
- SOL注入——基干联合查询的POST注入(四)
- 我为什么选择Angular 2?
- linux c mysql教程_linux下c操作mysql之增删改查
- shell中执行某条语句失败能不能重复执行_如何理解Mysql中的事务隔离级别?
- matlab 当已知两个矩阵满足分别一定条件时_程序继续执行,MATLAB程序设计基础
- 遇劣势变蠢、发语音嘲讽人类……OpenAI这些奇葩DOTA操作跟谁学的?
- atitit。mssql sql server 转换mysql 及 分页sql ast的搭建
- 电源大师课笔记 2.6
- 【STM32】 SG90舵机
- EVE-NG模拟器教程(二)——模拟器安装
- elementui生产环境图标加载时偶而乱码
- .NET连接IMB DB2数据库的一些问题及最终完美解决方案!
- 聚美上市后将往何方:服装特卖和100%透明的化妆品渠道
- SpringMVC上传图片报400
- Keystore was tampered with, or password was incorrect