视频: 20081019ææ²»ç¥å®®å¯¶ç©æ®¿å大èåª (十一月 2024)
关于移动操作系统的最好的事情之一是沙箱。 此技术将应用程序分隔开来,以防止有风险的应用程序(或任何应用程序)通过Android随意控制。 但是,一个新漏洞可能意味着Android的沙箱功能不如我们想象的强大。
它是什么?
在Black Hat上,Jeff Forristal演示了如何使用Android处理证书的缺陷来逃避沙箱。 它甚至可以用于为恶意应用程序提供更高的特权级别,而无需向受害者提供有关手机中正在发生什么的线索。 Forristal说,此漏洞可能被用来窃取数据,密码,甚至完全控制多个应用程序。
证书的核心是证书,证书基本上是很少的加密文件,旨在确保应用程序符合其要求。 Forristal解释说,这与网站用于确保真实性的技术完全相同。 但是事实证明,Android并未检查证书之间的密码关系。 Forristal说,此缺陷“对于Android安全系统而言是相当基本的。”
它能做什么
在他的演示中,Forristal使用了一个伪造的Google Services更新,其中包含使用伪造ID漏洞之一的恶意代码,该应用程序与社交工程电子邮件一起发送,攻击者冒充受害者的IT部门。 当受害者去安装应用程序时,他会看到该应用程序不需要任何权限,并且看起来合法。 Android执行安装,一切似乎都很好。
但是在后台,Forristal的应用程序使用了Fake ID漏洞来自动立即将恶意代码注入设备上的其他应用程序。 具体来说,是用于更新Flash的Adobe证书,其信息已硬编码到Android中。 在几秒钟内,他控制了设备上的五个应用程序-其中一些可以深度访问受害者的设备。
这不是Forristal第一次使用Android。 早在2013年,Forristal揭开了所谓的Master Key漏洞,震惊了Android社区。 这个广泛传播的漏洞意味着伪造的应用程序可以伪装成合法的应用程序,从而可能使恶意应用程序获得免费通行证。
支票编号
福里斯塔尔(Forristal)的表现不仅为我们提供了有关Android的大开眼界的新闻,还为我们提供了一种保护我们的秘密的工具。 Forristal发布了免费的扫描工具来检测此漏洞。 当然,这仍然意味着人们将不得不防止恶意软件进入手机。
该错误也已报告给Google,而且补丁的发布级别显然不同。
更重要的是,整个攻击取决于安装应用程序的受害者。 没错,它没有要求大量权限的危险信号,但Forristal表示,如果用户避免将应用程序从“阴暗的地方”(阅读:在Google Play之外)使用,它们将是安全的。 至少现在(是。
