Android安全模式驚爆新漏洞影響范圍極廣

時間：2013-07-04 14:29:00

關(guān)鍵字： Android BOX 安全漏洞 ANDROID系統(tǒng)

手機(jī)看文章

掃描二維碼
隨時隨地手機(jī)看文章

[導(dǎo)讀]北京時間7月4日消息，據(jù)國外媒體報道，企業(yè)安全公司Bluebox在谷歌Android安全模式中發(fā)現(xiàn)一個新的安全漏洞，會令幾乎所有的Android設(shè)備成為不設(shè)防的受攻擊對象。據(jù)Bluebox的安全研究團(tuán)隊稱，流氓應(yīng)用可以通過這個安全

北京時間7月4日消息，據(jù)國外媒體報道，企業(yè)安全公司Bluebox在谷歌Android安全模式中發(fā)現(xiàn)一個新的安全漏洞，會令幾乎所有的Android設(shè)備成為不設(shè)防的受攻擊對象。

據(jù)Bluebox的安全研究團(tuán)隊稱，流氓應(yīng)用可以通過這個安全漏洞獲得Android系統(tǒng)和所有已安裝應(yīng)用的最高訪問權(quán)限，讀取用戶設(shè)備上的所有數(shù)據(jù)，搜集所有的密碼并建立一個由“常開、常聯(lián)網(wǎng)和常移動”的間諜設(shè)備組成的僵尸網(wǎng)絡(luò)。

Bluebox的首席技術(shù)官杰夫佛利斯塔爾（Jeff Forristal）稱，利用Android系統(tǒng)中的這個新發(fā)現(xiàn)的漏洞，黑客們可以在不破壞應(yīng)用軟件的密碼簽名的情況下修改應(yīng)用的APK（應(yīng)用程序包文件）代碼，將任何合法應(yīng)用轉(zhuǎn)換成惡意木馬，而且完全不會被應(yīng)用商店、手機(jī)或最終用戶注意到。

佛利斯塔爾稱，這個漏洞的影響范圍極廣，至少自Android 1.6（產(chǎn)品代碼：Donut）發(fā)布后的設(shè)備都存在這個安全漏洞。換句話說，過去4年內(nèi)發(fā)布的所有Android手機(jī)都會受到這個漏洞的影響。

這個影響范圍極廣的安全漏洞涉及到Android應(yīng)用程序的密碼驗證和安裝方式上的差異，它可以在不破壞密碼簽名的情況下修改應(yīng)用的APK代碼。

與iOS應(yīng)用一樣，Android應(yīng)用也標(biāo)記了一個密鑰標(biāo)簽以避免惡意黑客修改應(yīng)用程序。標(biāo)記過密鑰標(biāo)簽的應(yīng)用可以讓系統(tǒng)檢測出第三方對應(yīng)用作出的任何干預(yù)或修改。

然而，利用最新發(fā)現(xiàn)的這個Android漏洞，流氓開發(fā)員可以騙過系統(tǒng)，讓系統(tǒng)認(rèn)為某個已經(jīng)被破壞的應(yīng)用仍然是合法應(yīng)用，從而獲得訪問系統(tǒng)的權(quán)限。

Bluebox公司的一位代表稱：“受到這個漏洞影響的設(shè)備幾乎可以為所欲為，包括成為僵尸網(wǎng)絡(luò)的一部分、監(jiān)聽耳機(jī)、將用戶的數(shù)據(jù)傳輸給第三方、加密和劫持用戶的數(shù)據(jù)、利用用戶的數(shù)據(jù)向另一個網(wǎng)絡(luò)發(fā)起攻擊、攻擊與用戶手機(jī)聯(lián)網(wǎng)的計算機(jī)、發(fā)送垃圾短信息、對某個目標(biāo)發(fā)起DDoS攻擊或者擦除用戶設(shè)備上的所有數(shù)據(jù)。”

Bluebox稱，這個漏洞自Android 1.6（Donut）發(fā)布時就存在了，這意味著過去4年內(nèi)發(fā)布的所有Android設(shè)備都受到了它的影響。

已經(jīng)被黑客破壞的應(yīng)用可以利用這個安全漏洞偽裝成合法應(yīng)用，從而獲得訪問系統(tǒng)資源的權(quán)限。Bluebox指出，持有Android許可證的很多廠商比如HTC、三星、摩托羅拉和LG等自己的應(yīng)用以及很多VPN應(yīng)用如思科的AnyConnect都被授予了很高的特權(quán)，特別是可以訪問系統(tǒng)UID。

繞過Android系統(tǒng)的應(yīng)用簽名模式并換下這樣一款應(yīng)用后，流氓應(yīng)用就可以獲得訪問Android系統(tǒng)、所有已安裝應(yīng)用和所有數(shù)據(jù)的最高權(quán)限。

這意味著流氓應(yīng)用不但可以讀取設(shè)備上的任意應(yīng)用數(shù)據(jù)以及檢索儲存在本地的所有帳戶和服務(wù)密碼，而且還可以取代手機(jī)的正常功能進(jìn)而控制任何功能，比如撥打任意電話、發(fā)送任意短信息、打開攝像頭和電話錄音等。

Bluebox補(bǔ)充說：“最后，最令人擔(dān)心的問題是黑客有可能利用這些僵尸移動設(shè)備的‘常開、常聯(lián)網(wǎng)和常移動’的特點，建立一個僵尸網(wǎng)絡(luò)。”

Bluebox已經(jīng)在今年2月將這個漏洞的信息提供給了谷歌和開放手機(jī)聯(lián)盟（OHA）的成員廠商，但它指出，開發(fā)和發(fā)布所有移動設(shè)備的固件升級的任務(wù)需要由設(shè)備廠商來完成。這些升級的發(fā)布時間肯定各不相同，具體將取決于廠商和移動設(shè)備。

到目前為止，持有Android許可證的廠商在發(fā)布相關(guān)升級上的表現(xiàn)并不積極，它們通常不愿發(fā)布安全補(bǔ)丁，哪怕是非常重要的安全補(bǔ)丁也不例外。

Android系統(tǒng)在安全防護(hù)上的弱勢表現(xiàn)也使它成為了全球受惡意件影響最大的移動平臺。這個新發(fā)現(xiàn)的安全漏洞會將Android用戶置于更危險的境地，因為現(xiàn)在即便是合法開發(fā)商簽名的應(yīng)用也不可信了。

安全公司F-Secure在5月份指出：“Android惡意件生態(tài)系統(tǒng)開始變得象Windows惡意件生態(tài)系統(tǒng)一樣了。”

佛利斯塔爾將在今年的黑帽子大會上公布這個安全漏洞的詳細(xì)資料。

谷歌和開放手機(jī)聯(lián)盟對此未予置評。