北京
正文:
你有没有随手打开过手机的"开发者选项"?很多人只是为了调个动画速度,或者让USB能连电脑传文件。但有个功能叫"无线调试",一旦打开,你的手机就在默默监听网络连接——而Google刚修了一个存在4年的漏洞,专门盯的就是这个功能。
这个漏洞藏在ADB(Android Debug Bridge)里。简单说,它是开发者和手机之间的桥梁,平时插着USB线用。但开发者嫌麻烦,会打开"无线调试",让手机直接连WiFi操作。问题就出在这里:如果之前授权过任何一台电脑,攻击者就能伪造一个证书类型,骗过系统的身份验证。
原理很程序员。系统检查证书匹配时,返回3种状态:1表示匹配成功,0表示失败,-1表示证书类型不对。但代码把-1当成布尔值判断——在编程里,只要不是0就算"真"。于是类型错误被当成验证通过,后门就这么敞开了。
普通用户基本没事。你需要同时满足:开了无线调试、之前授权过至少1台设备。但开发者们,现在真的该更新了。Pixel已经推送补丁,大厂也会跟上,至于那些系统更新随缘的品牌……自求多福吧。
有意思的是AI找漏洞这件事。Mythos模型扫描了Curl——那个运行在200亿台设备上的网络工具——只找到1个"不太危险"的漏洞。作者Daniel Stenberg倒挺坦然:没发现大问题,恰恰说明持续审计真的有用。另一个叫XBow的AI则盯上了Exim邮件服务器,也挖出了东西。
机器开始帮我们找漏洞了。它们不会累,不会漏看注释,也不会觉得"这段代码应该没问题"。但前提是,得有人及时修——尤其是当你手里那台手机,可能再也不会收到更新的时候。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
