仅通过发送恶意电子邮件就可以使Android的谷歌电子邮件应用程序崩溃
相关标签: # python# 漏洞# 研究# 设备# 缺陷
谷歌的股票安卓电子邮件应用,恶意攻击者只需发送精心编制的电子邮件,即可利用该漏洞远程破坏您的智能手机应用程序。
西班牙安全研究员,赫克托·马尔科,成功利用了他运行的三星Galaxy S4 Mini 4.2.2.0200股票Android电子邮件应用程序上的漏洞。他说,该漏洞似乎影响了所有旧版本的股票安卓电子邮件应用,但运行4.2.2.0400和更新版本的设备不受影响。
据研究人员称,当受害者收到恶意电子邮件并试图查看时,电子邮件应用程序崩溃。再次尝试打开电子邮件会在受害者采取任何行动之前触发应用程序崩溃。
缺陷(CVE-2015-1574)是由于错误处理内容处置头。黑客可以通过向目标用户发送带有格式错误的内容处置头的电子邮件来攻击该漏洞,从而导致电子邮件应用程序崩溃。
解决这个崩溃问题的唯一方法是从股票Android电子邮件应用程序中删除恶意电子邮件。
"由于应用程序会立即崩溃,[而且]消除[问题]最简单直接的方法是使用电子邮件服务器收件箱中的其他电子邮件客户端(或通过web)“马可在博客中解释道。”另一种方法是在启动电子邮件阅读器之前禁用互联网连接(飞机模式),然后您可以删除有问题的电子邮件。"
然而,Marco指出,从应用程序的收件箱中删除恶意电子邮件只是一个临时解决方案,因为攻击者可以发送任意数量的恶意电子邮件。
对于概念验证(PoC)在演示中,Marco在周二发布了一个python漏洞攻击代码,并解释了向目标用户发送精心编制的电子邮件如何会使受害者的电子邮件应用程序崩溃。
到目前为止,没有报道称Marco的漏洞也适用于iOS或其他平台用户。但该漏洞影响到大多数安卓智能手机用户,因为谷歌的股票电子邮件应用程序版本预装在安卓的官方版本上。
目前尚不清楚是否已向谷歌报告了该漏洞。用户可以将他们的电子邮件Android应用程序升级到4.2.2.0400或更高版本,以保护自己,但只有那些有升级选项的用户。
不幸的是,并非所有Android版本都能升级。马可说,他目前的三星Galaxy 4 mini已经完全更新,很容易受到攻击,因为他的设备没有4.2.2.0200的更高版本。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
