信息來源:比特網(wǎng)
2017年9月13日�����,PaloAlto Networks Unit 42 研究人員發(fā)布了關(guān)于影響GoogleAndroid平臺的新型高嚴(yán)重性漏洞的詳細(xì)。2017 年 9 月 Android公告中提供了用于修復(fù)該漏洞的補(bǔ)丁�����。這種新型漏洞不會影響最新版本 Android 8.0 Oreo�����,但會影響所有之前的 Android 版本。某些惡意軟件會通過本文列出的一些途徑進(jìn)行漏洞利用�����,但 Palo Alto Networks Unit 42 目前并未發(fā)現(xiàn)針對這一特定漏洞進(jìn)行的任何攻擊�����。由于 Android 8.0 版本相對較新�����,這意味著幾乎所有 Android 用戶都應(yīng)立即采取行動(dòng)�����,安裝針對此漏洞的更新。
我們的研究人員發(fā)現(xiàn)利用該漏洞能夠更容易發(fā)起“覆蓋攻擊”�����,這是一種針對 Android 平臺的已知攻擊類型�����。此類攻擊最有可能用于在用戶的 Android 設(shè)備上安裝惡意軟件�����,還可用于使惡意軟件完全控制設(shè)備�����。在最壞的情況下,該漏洞可導(dǎo)致手機(jī)無法使用(即“變磚”)或安裝任意惡意軟件�����,包括但不限于勒索軟件或信息竊取程序�����。簡單說來�����,該漏洞可用于控制�����、鎖定被攻擊設(shè)備并在之后竊取信息�����。
在“覆蓋攻擊”中,攻擊者的應(yīng)用會在設(shè)備上運(yùn)行的其他窗口和應(yīng)用上繪制(或者說“覆蓋”)一個(gè)窗口�����。如果得逞�����,則攻擊者將會誘騙用戶�����,使其將自己點(diǎn)擊的入侵窗口當(dāng)作正常窗口�����。在圖 1 的示例中�����,攻擊者讓用戶以為自己是在通過單擊來安裝補(bǔ)丁,但實(shí)際上用戶單擊后會授予 Porn Droid 惡意軟件對設(shè)備的完全管理員權(quán)限�����。
圖 1:偽造的補(bǔ)丁安裝程序下所覆蓋的惡意軟件正在請求獲取管理權(quán)限
您可以看到這種攻擊是如何誘騙用戶無意中在設(shè)備上安裝惡意軟件的�����。它還可用于授予惡意軟件對設(shè)備的完全管理權(quán)限�����。
覆蓋攻擊也可通過在設(shè)備上顯示無法關(guān)閉的窗口�����,從而創(chuàng)造拒絕服務(wù)條件。這正是攻擊者在移動(dòng)設(shè)備上發(fā)起勒索軟件攻擊所使用的方式�����。
當(dāng)然�����,覆蓋攻擊可在一次攻擊中實(shí)現(xiàn)以下三個(gè)目的:
誘騙用戶在設(shè)備上安裝惡意軟件�����。
誘騙用戶授予惡意軟件對設(shè)備的完全管理權(quán)限。
使用覆蓋攻擊鎖定設(shè)備并以此索要贖金。
覆蓋攻擊并不是新生事物�����,此前就已經(jīng)引起過人們的關(guān)注�����。但在此之前�����,根據(jù) IEEE 安全與隱私期刊中的最新研究結(jié)果,所有人都認(rèn)為試圖發(fā)起覆蓋攻擊的惡意應(yīng)用要想成功�����,必須克服兩大障礙:
必須在安裝時(shí)明確要求用戶授予其 “draw on top” 權(quán)限�����。
必須通過 GooglePlay 進(jìn)行安裝�����。
這些都是重要的緩解因素�����,正因如此�����,覆蓋攻擊并沒有被視為嚴(yán)重威脅�����。
但是,我們新的 Unit 42 研究顯示�����,有一種途徑可以繞過這些緩解因素發(fā)起覆蓋攻擊。我們的研究人員發(fā)現(xiàn)�����,如果惡意應(yīng)用利用這個(gè)新漏洞�����,那么它只需安裝在設(shè)備上即可發(fā)起覆蓋攻擊�����。特別是�����,這意味著來自網(wǎng)站和除 Google Play 之外的其他應(yīng)用商店的惡意應(yīng)用均可發(fā)起覆蓋攻擊�����。值得注意的是�����,來自網(wǎng)站和除 Google Play 之外的其他應(yīng)用商店的應(yīng)用是全球 Android 惡意軟件的重要來源�����。
其中一個(gè)特定漏洞可影響名為 “Toast”(吐司)的 Android 功能?����!癟oast” 是一種在屏幕上“彈出”(就像烤吐司一樣)的通知窗口�����?����!癟oast” 通常用于在其他應(yīng)用之上顯示消息和通知�����。
與 Android 中的其他窗口類型不同,Toast 不需要相同的權(quán)限�����,因此適用于以前的覆蓋攻擊的緩解因素在此并不適用�����。此外�����,我們的研究人員也已概述了如何創(chuàng)建覆蓋整個(gè)屏幕的 Toast 窗口�����,因此使用 Toast 創(chuàng)建與常規(guī)應(yīng)用窗口功能相同的窗口是可能的�����。
根據(jù)這項(xiàng)最新研究�����,覆蓋攻擊的風(fēng)險(xiǎn)便具有更高的嚴(yán)重性�����。幸運(yùn)的是,最新版本的 Android 從一開始即可免受這些攻擊的影響�����。但是�����,大多數(shù)使用舊版本 Android 的用戶卻容易受到攻擊。這意味著對于所有使用 8.0 之前版本的 Android 用戶來說�����,更新設(shè)備至關(guān)重要�����。您可以從移動(dòng)運(yùn)營商和手機(jī)制造商處了解關(guān)于補(bǔ)丁和更新可用性的信息。
當(dāng)然�����,防范惡意應(yīng)用最好的途徑之一就是僅從 Google Play 安裝 Android 應(yīng)用�����,因?yàn)?Android 安全團(tuán)隊(duì)始終積極篩選惡意應(yīng)用并從一開始就將其排除在商店之外�����。
