Palo Alto披露新型安卓安装程序劫持漏洞

2015-05-30 |  作者:佚名 |  来源:Palo Alto Networks

摘要Palo Alto Networks近日披露谷歌的安卓移动操作系统中普遍存在的漏洞细节,攻击者可以劫持用户应用程序,在无需输入用户信息的情况下就可以替换为攻击者的应用程序。

企业安全领域引领者Palo Alto Networks(纽约证券交易所:PANW)近日披露谷歌的安卓移动操作系统中普遍存在的漏洞细节,攻击者可以劫持用户设备上看似安全的安卓应用程序,即安卓安装包(APK),在无需输入用户信息的情况下就可以替换为攻击者的应用程序。

利用该漏洞,攻击者可以传播恶意软件、损害设备和窃取用户数据,估计约49.5%的安卓设备用户会遭受该漏洞的影响。Palo Alto Networks日前也推出了一款应用程序,帮助可能受影响的安卓用户来诊断其设备是否存在该漏洞。

漏洞导致隐形诱导转向

Palo Alto Networks的Unit 42威胁情报研究员Zhi Xu在安卓的“数据包安装器”系统服务中发现了这一漏洞,利用该漏洞,攻击者可以悄悄地访问被袭击的设备,并且访问权限不受限制。具体来说:

• 在安装过程中,安卓应用程序会列出执行功能的权限列表,如请求访问短信服务的短信应用,但不是GPS定位系统。

• 该漏洞通过显示一个虚假的、限制性更多的权限来诱骗用户,同时又可以自由访问用户设备中的服务和数据,其中包括个人信息和密码。

• 当用户认为他们正在安装一个明确定义的并有限定权限的手电筒程序或手机游戏时,实际上是在运行具有潜在危险的恶意软件。

Unit 42是Palo Alto Networks的威胁情报团队,现已与谷歌和安卓设备制造商如三星和亚马孙合作,以帮助保护用户信息并修补已受该漏洞影响的安卓版本的设备。一些旧版本的安卓设备可能仍然会受到该漏洞的威胁。

如何降低风险

日前披露的漏洞会影响从第三方来源下载的安卓应用程序,而Google Play的应用访问却没有受到影响。Palo Alto Networks为那些因使用安卓设备而担忧恶意软件风险的企业提供了以下建议:

• 对于存在漏洞的设备(+关注网络世界),只需安装来自Google Play的软件应用程序;这些文件被下载到一个受保护的空间中,而攻击者是无法覆盖这个空间的。

• 使用安卓4.3_r0.9以及更高版本的移动设备,但是请记住,一些安卓4.3的设备也被发现存在漏洞。

• 不提供有访问权限的应用程序去访问logcat。Logcat是一个系统日志,可用于简化数据信息,完成数据信息利用的自动化。默认的安卓4.1以及更高版本的安卓系统禁止应用程序来访问系统logcat以及其他的安装程序。但是已安装的应用程序仍可访问其它应用程序的logcat,但前提是使用安卓4.1或更高版本并且已经Root的移动设备。

• 禁止企业用户在企业网络中使用Root设备。

相关文章