Nick Lewis(CISSP，GCWN))是一名信息安全分析師。他主要負責風險管理項目，并支持該項目的技術PCI法規(guī)遵從計劃。2002年，Nick獲得密歇根州立大學的電信理學碩士學位;2005年，又獲得Norwich大學的信息安全保障理學碩士學位。在他09年加入目前的組織之前，Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學院初級兒科教學醫(yī)院，以及Internet2和密歇根州立大學工作。

[[118099]]

在Android設備中出現(xiàn)VPN繞過漏洞允許惡意應用通過VPN并重定向數(shù)據(jù)的情況，那么在補丁發(fā)布前，該如何阻止這種情況發(fā)生?

Nick Lewis：Ben Gurion大學網(wǎng)絡安全實驗室的研究人員最近在Android KitKat 4.4中發(fā)現(xiàn)了一個漏洞，該漏洞允許惡意應用重定向通過VPN發(fā)送的安全數(shù)據(jù)。數(shù)據(jù)在加密之前被重定向，并可能被攔截和發(fā)送到惡意網(wǎng)絡地址。雖然研究人員公布了一段視頻來展示他們的發(fā)現(xiàn)，但該漏洞如何被利用和漏洞的詳細信息并沒有公開發(fā)布。

這個漏洞似乎是一種中間人攻擊，這種攻擊可以以多種不同方式完成，例如ARP欺騙、DNS劫持、BGP劫持或者瀏覽器中間人攻擊等。這些攻擊和VPN繞過漏洞可以讓攻擊者重定向數(shù)據(jù)。此外，一些系統(tǒng)允許路由、ARP表、靜態(tài)DNS條目等由用戶進行手動更新，這可能會產(chǎn)生與這些攻擊類似的影響。它們還允許授權或未經(jīng)授權的用戶在數(shù)據(jù)到加密VPN通道之前重定向IP連接，這允許攻擊者捕捉密碼或其他敏感數(shù)據(jù)。

雖然在Android系統(tǒng)的更新配置和VPN配置中確實存在安全漏洞，但谷歌和三星聯(lián)合對該漏洞作出回應，聲稱這不是一個漏洞，而是“攔截未加密網(wǎng)絡連接的非預期方式”。

在補丁或安全配置發(fā)布之前，為了保護易受攻擊的Android設備，企業(yè)應該禁止員工安裝未經(jīng)批準的應用。此外，使用移動設備管理產(chǎn)品來檢測未經(jīng)授權應用的安裝以及系統(tǒng)中的配置變更。企業(yè)還應該確保他們使用應用層加密來保護抵御這些類型的攻擊。

盡管谷歌已經(jīng)發(fā)布了一個補丁來解決這個漏洞問題，但并不建議企業(yè)等待補丁，因為更新要取決于移動運營商，移動運營商在補丁更新方面并不是很迅速，他們也沒有定義補丁周期。因此，在發(fā)現(xiàn)漏洞時，想要保持設備的安全性的關鍵是部署預防措施。

文章名稱：Android設備上如何阻止VPN繞過漏洞和惡意應用?
網(wǎng)站網(wǎng)址：http://uogjgqi.cn/article/dpodihi.html