大量 Android 手机遭遇远程擦除漏洞;移动网页版谷歌地图将提供街景服务;Dropbox 与 Facebook 合作带来群组文件分享功能; 新 Java 漏洞曝光,影响十亿台电脑;Intel 否认其 CEO 曾批评 Windows 8
大量 Android 手机遭遇远程擦除漏洞
在昨天的《极客早知道》里,我们报道了三星 Android 手机遭遇远程擦除漏洞的消息:当用户点击网页中的恶意链接时,手机将会被直接擦除所有数据恢复到出厂状态。当时我们认为这是三星 TouchWiz 定制界面的问题,现在我们发现这个问题的根源在旧版的 Android 原生拨号程序中,因此大量 Android 手机都有这一漏洞。
要检测你的手机是否也存在这个问题,请用手机访问 这个地址,请放心它不会擦除你的手机数据,但是如果你的手机存在这一远程擦除漏洞,则访问这个地址后将会自动显示手机的 IMEI 号。我用自己的 Galaxy S 试了一下,中招了。
这个漏洞的原理是这样的:
- Android 程序可以向系统里的拨号器传递“tel:URL”格式的地址,例如传递“tel:110”可以直接调用拨号盘拨打 110 报警。通过这样的机制,可以满足类似于“在浏览器中点击电话号码直接拨号”这样的需求。
- Android 手机可以通过在拨号盘上输入特定字符串的形式来调用某些系统隐藏功能,例如拨打“*#06#”可以查看手机的 IMEI 号。同样的,只需拨打一个特定的字符串即可擦除手机数据恢复出厂设置,例如我的 Galaxy S 是“*#*#7780#*#*”,而最新的 Galaxy S III 是“*2767*3855#”。
- 因此,如果在网页上植入一个“tel:*#*#7780#*#*”恶意链接,当 Galaxy S 用户点击这一链接时就会被远程擦除数据恢复出厂设置了。同样的,如果植入了“tel:*#*#7780#*#*”,Galaxy S III 用户点击后手机就会被擦除数据。恶意网页甚至可以通过检测访问者的手机型号来显示对应内容的链接。
这个漏洞存在于 Android 默认的系统拨号器中,虽然这一漏洞已经在今年六月份得到了 Google 官方的修复,一些厂商定制界面的拨号器程序也提前进行了修正,但是大量系统版本较旧,且厂商并未对拨号器做特殊定制改动的手机用户仍然面临这个问题。目前已知中招的包括三星、HTC 和摩托罗拉的多款机器。
目前的临时解决方案是装一个第三方拨号器程序,因为大部分第三方拨号器程序并没有权限或功能可以直接处理这种特殊字符串。而问题的最终解决当然还是要等待各自手机厂商的系统更新。动作快的厂商如三星,已经及时发布了 Galaxy S III 的系统更新填补这一漏洞,很快就会以 OTA 方式推送到用户的手机上。
移动网页版谷歌地图将提供街景服务
日前纽约时报专栏作家 David Pogue 透露,广受赞誉的街景服务(Street View)即将被加入到移动网页版的 Google 地图服务中。
我们都知道 iOS 6 取消了预装的 Google 地图应用,改为 自带质量奇差的苹果地图。大量 iOS 用户不得不使用网页版 Google 地图,而 Google 也开始借这个机会快速更新自己的网页版 Google 地图服务来满足这部分用户的需求。根据 David Pogue 的说法,Google 方面的人员表示 Street View 街景服务“两周之内”就会加入到网页版地图中去。
功能越来越全面的网页版 Google 地图当然好,不过 iOS 用户们更希望看到的肯定是原生的 Google 地图应用上架 App Store,可惜 Google 创始人之一埃里克·施密特已经否认了 Google 地图已经提交到 App Store 等待审核的消息。因此诸位果粉似乎 应该把手机换成 Android 要再等很长一段时间了。
Dropbox 与 Facebook 合作带来群组文件分享功能
日前 Dropbox 与 Facebook 进行了合作,用户可以直接在 Facebook 群组页面分享自己 Dropbox 中的文件。
Facebook 已经在其群组页面的发布框下方加入了“From Your Dropbox”选项,在关联了 Facebook 和 Dropbox 帐号之后,用户可以直接从 Dropbox 中选取文件分享给 Facebook 群组中的好友。被分享的文件将仍然保存在 Dropbox 中,这样当用户在 Dropbox 里更新过文件之后就不必重新上传一遍,群组成员可以自动下载到最新版本的文件。
作为最流行的文件云存储服务,Dropbox 之前已经与 Vimeo 等多家互联网服务达成了类似的合作。虽说这只是一个基本被墙的服务和另一个完全被墙的服务之间的合作,但是这种社交网络与云存储服务之间的无缝合作方式无疑是对用户需求的极好满足,相信我们很快就会在国内的某些地方看到它。
新 Java 漏洞曝光,影响十亿台电脑
日前一个新的 Java 漏洞被曝光,黑客可以通过这一漏洞方便地安装恶意软件。这一漏洞影响到了十亿台电脑,Mac 和 Windows 两大平台都包括在内。
这一漏洞信息昨天由安全研究人员 Adam Gowdiak 发布,它广泛存在于 Java 5,Java 6 和 Java 7 中,对于版本号在 10.6 及以下的旧 Mac OS X 系统威胁尤其巨大,因为这些旧版的 Mac 系统都统一预装了有问题的 Java 版本。
Adam Gowdiak 表示已经将漏洞的细节信息和演示源码递交给了 Oracle,而 Oracle 已经确认了漏洞的存在并表示将会提供补丁进行修复。尽管修复时间尚未确定,但是下一次 Oracle 对 Java 的例行维护升级是在 10 月 16 日,算算时间也不远了。
和 Flash 一样,Java 也是桌面电脑系统平台上安装最广泛,漏洞最多的产品之一。今年初 Mac OS X 平台上第一个真正有威胁的病毒 FlashBack 便是利用的 Java 漏洞。随着网页对 Java Applet 的依赖度越来越低,以及需要 Java 的桌面软件数量减少,禁用或者完全卸载 Java 或许是更好的选择。
Intel 否认其 CEO 曾批评 Windows 8
昨天 有媒体报道称 Intel CEO 保罗·欧德宁在内部会议上当着员工的面吐槽 Windows 8 是个没做好就发布的半成品。日前 Intel 方面发表官方声明辟谣称这种说法“毫无事实根据”,并高度赞扬了 Intel 和微软的合作。
Intel 的声明全文照译如下:
今日本公司发表以下声明,以回应部分媒体对公司 CEO 保罗·欧德宁言论的毫无事实根据的报道。
在 Windows 平台上,Intel 与微软有着长期而成功的合作关系,我们一起提供拥有更好体验、更佳性能和更高兼容性的产品。在 Windows 8 上,这样的亲密合作一定还将继续。
Intel、微软和我们的其它合作伙伴正在进行缜密的测试和验证,以确保将在十月份发布的大约 200 种基于 Intel 技术的新产品拥有良好的体验。Intel CEO 保罗·欧德宁曾经说过“Windows 8 是 Intel 历史上最好的机会之一”,以赞扬 Windows 8 将触屏操作引入主流市场的贡献,和由此带来的超极本、平板和其它类型创新产品的大批上市潮流。
虽然官方进行了辟谣,但是 Windows 8 怪异的操作方式所引发的争议还将继续,而 Intel 的超极本战略过去市场效果一直不佳,能否借 Windows 8 的推动最终取得成功,还依然是个未知数。从这个意义上来说,我倒是宁愿相信保罗·欧德宁之前真的对 Windows 8 进行过吐槽。
