-
友情链接:
如果思要通过蓝牙、Wi-Fi、WebRTC、NFC等通讯左券进行无线文献传输,最多东说念主知说念的作念法应该是哄骗苹果的AirDrop,但连年来Google也与三星勾搭推出Quick Share,并推敲打算与计较机制造商订盟、预装干系应用风物,以便安卓成就与Windows计较机用户彼此发送文献,但有商议东说念主员发现,QuickShare存在一系列舛讹国产自拍,黑客有契机串联发动抨击。
上周安全企业SafeBreach针对这套器具裸露10个舛讹,通称为QuickShell,其中有9个影响Windows成就,1个影响安卓成就,商议东说念主员指出,这批舛讹可酿成非典型的辛勤实施风物代码(RCE)抨击链,从而让抨击者在Windows计较机实施风物代码。
对此,Google在本年1月接获商议东说念主员通报后,发布1.0.1724.0版Quick Share进行修补,并将这批舛讹登记为CVE-2024-38271、CVE-2024-38272被监管,CVSS风险评分为5.9、7.1。商议东说念主员也在安全会议DEF CON 32展示干系商议效果。
Quick Share是简略在安卓、Chromebook、Windows计较机之间进行点对点传输应用风物,成就之间,瓦解过蓝牙、Wi-Fi、WebRTC、NFC等通讯左券传输文献。
KK系列Google蓝本将这项应用风物定名为Nearby Share,并在旧年7月推出Windows版应用风物。到了本年1月的CES 2024计较机展,偷窥自拍第1页Google通知与三星勾搭,将两家厂商的科罚决议整合为Quick Share,并推敲打算与计较机制造商勾搭,在Windows计较机预装这项文献传输器具。
对此,商议东说念主员指出,由于Quick Share相沿多种通讯左券,在成就之间发送文献的经过可能会异常复杂,况兼这是Google首度尝试开荒原生的Windows版应用风物,再加上往常很有可能有很多新计较契机预装这项器具,如若存在缺陷,将会成为诱骗黑客的抨击地点。
收场,他们一共找到10个舛讹,其中在Windows版Quick Share里,有6个拒却管事(DoS)缺陷,1个旅途穿越舛讹、1个强制Wi-Fi聚积的舛讹,其余两个是Windows、安卓版应用风物的文献写入失实缺陷。
抨击者可在未经授权的情况下,借由QuickShell将文献辛勤写入成就,导致Windows版应用风物宕机,并将流量重定向抨击者欺压的Wi-Fi热门,然后探访特定用户文献夹的施行。
商议东说念主员也在GitHub提供舛讹考证器具国产自拍,以便其他东说念主简略进一步商议这类文献传输机制的缺陷。