更令人惊讶的是,诺尔同意谷歌的另一个主要观点:利用他们丢失的补丁来破解Android手机远比听起来难。即使Android手机没有坚实的补丁记录,但它们仍然受益于Android更广泛的安全措施,如地址空间布局随机化(ASLR,即通过随机化软件加载特定代码的内存地址防止攻击者利用软件漏洞悄悄安装恶意程序)和沙盒(限制恶意程序访问设备其他空间)。
这意味着,需要利用手机软件中一系列漏洞来完全控制目标Android手机的大多数黑客技术,也就是所谓的“攻击”可能会无效。诺尔说:“即使你错过了某些补丁,很有可能它们并不是按照某种方式排列的,这样黑客就无法利用它们。结果,Android手机反而更容易被更简单的方式所攻击,即那些在谷歌Google Play中找到或者诱使用户从应用店外其他来源安装它们的流氓软件。只要人类继续容易上当,安装免费或盗版软件,罪犯就可能会坚持下去。”
然而,由国家资助的黑客在Android设备上进行更有针对性的攻击可能是另一回事。在大多数情况下,诺尔认为他们可能使用的是“零日漏洞”(即被秘密破解的漏洞,尚没有补丁存在),而不是已知但未被修补的漏洞。不过在许多情况下,他们也可能会使用已知的、尚未修补的手机漏洞,并将其与“零日漏洞”相结合。诺尔举了一个例子,间谍软件FinFisher利用了已知的Android漏洞Dirty COW以及其发现的“零日漏洞”。
诺尔引用了“深度防御”的安全原则,即在多层中最有效地部署安全。每个错过的补丁都意味着少了一层潜在保护。他说:“你永远不应该留下公开漏洞让攻击者有机可乘,深度防御意味着安装所有补丁。” (小小)
据外媒报道,微软CEO萨蒂亚·纳德拉日前在
在深陷欠款危机,贾跃亭自曝乐视资金链紧张
我国古代将霜降分为三候:“一候豺乃祭兽;
新西兰stuff网站11月20日文章,原题:对首
