Stagefright漏洞爆出沒多久�,Android平臺又爆出一重大漏洞��,影響55%的手機�。IBM的X-Force應(yīng)用安全研究團隊近日發(fā)現(xiàn)了這一漏洞�。攻擊者可以利用這個任意代碼執(zhí)行漏洞給一款沒有權(quán)限的惡意應(yīng)用授權(quán)���,提升其權(quán)限,黑客就可以借此操控設(shè)備�����。除了這個Android漏洞,研究人員還發(fā)現(xiàn)了幾個存在漏洞的第三方Android SDK�,可以幫助攻擊者操控APP。
我們最近在Hacking Team泄露的文件中看到過類似的攻擊技巧����。該種攻擊使用一款名為BeNews的新聞APP,其實是偽造的APP���,應(yīng)用請求的權(quán)限看起來都沒有惡意�,以此躲過了Google Play的過濾機制��。一旦用戶運行APP�����,它就會下載另外一些代碼����,還會使用Futex漏洞(CVE-2014-3153)exp提升權(quán)限。這次研究人員發(fā)現(xiàn)的攻擊類型也和這個很類似����,即使是安全意識很強的用戶也難以防范。
漏洞介紹
這個Android序列化漏洞(CVE-2015-3825)存在于Android平臺本身�����,影響的版本包括4.3至5.1���,也就是Jelly Bean���、KitKat、棒棒糖和Android M預(yù)覽版1��,波及55%的Android設(shè)備����。
研究人員的論文中介紹了一個可靠的PoC,能夠演示攻擊的可行性�。這個PoC能夠攻擊高權(quán)限的system_server進程,這樣就能夠?qū)?quán)限提升至系統(tǒng)用戶的級別�,這種級別有相對寬松的SELinux配置,從而破壞行為會加大��。
舉例來說���,攻擊者可以通過替換目標應(yīng)用的apk接管受害者手機上的任意應(yīng)用��。這就可以讓攻擊者以受害者的身份執(zhí)行操作���。另外��,我們還可以利用Android Keychain應(yīng)用運行shell命令�,從設(shè)備中的所有應(yīng)用中竊取數(shù)據(jù)�����。甚至還可以更改SELinux策略��,在某些設(shè)備上還可以加載惡意的內(nèi)核模塊���。
攻擊過程
首先攻擊者會做一個看起來沒有安全隱患的APP�����,安裝后���,應(yīng)用不會請求讀取設(shè)備數(shù)據(jù),因此用戶會放松警惕��。
但是一旦安裝后���,惡意軟件就會用OpenSSLX509Certificate中的漏洞修改手機內(nèi)存值���,然后提權(quán)��。進而用假的APP替換正規(guī)的APP,重啟設(shè)備��,重啟后攻擊者就可以收集用戶數(shù)據(jù)了��。
演示視頻
以下是PoC的演示視頻����。一旦惡意軟件被執(zhí)行,它就會用假APP替代真APP��,攻擊者便可以從應(yīng)用中竊取敏感數(shù)據(jù)或者制造釣魚攻擊����。視頻中,研究人員將真的Facebook應(yīng)用替換為名為Fakebook的假APP��。
SDK漏洞(CVE-2015-2000/1/2/3/4/20)
研究人員還在幾款SDK中發(fā)現(xiàn)了漏洞:
Jumio (CVE-2015-2000)
MetaIO (CVE-2015-2001)
PJSIP PJSUA2 (CVE-2015-2003)
GraceNote GNSDK (CVE-2015-2004)
MyScript (CVE-2015-2020)
esri ArcGis (CVE-2015-2002)
另外���,Google Play Services APK中同樣包含了帶漏洞的OpenSSLX509Certificate類���。
補丁
好消息是Google已經(jīng)修復(fù)了Android 4.4�、5.1�����、5.0平臺中的漏洞�����,在Android M (build MPZ79M)版本中漏洞也已被修復(fù)�。上述的SDK廠商也同樣修復(fù)了產(chǎn)品中的漏洞。但你的設(shè)備要等多久才能有更新推送就是另一回事了�����。
研究人員將在華盛頓舉辦的USENIX WOOT ’15大會上分享更多細節(jié)�����。你也可以查看他們的論文了解更多���。
文章名稱:序列化漏洞影響半數(shù)以上Android手機
網(wǎng)站網(wǎng)址:
http://uogjgqi.cn/article/dhgiecj.html
