|
|
日前,360手機安全研究團隊vulpecker team,向補天漏洞回應平臺提交了其發現的安卓APP新型通用安全性漏洞“寄生獸”,這個漏洞影響市面上數以千萬的APP,眾多流行APP也包括在內,影響範圍包括百度、騰訊、阿裡等眾多廠商的移動產品。
“寄生獸”APK緩存劫持漏洞的核心有兩點,一是軟體發展者沒有考慮odex的安全問題,另外是沒有對zip解壓縮時的惡意檔案名做檢測,所以防護上也應該從這方面做考慮。
由於安卓自身的安全缺陷,使其沒有對odex進行強校驗,所以會導致駭客對駐留在系統緩存裡的odex檔注入惡意程式碼。臨時解決方法就需要軟體發展者捨棄部分APP快速啟動的特性,每次啟動APP時先清空系統緩存裡舊的、可能已經被病毒感染的odex檔,然後載入新的、沒有被病毒感染的odex檔。
APP在載入基礎模組(比如APP皮膚檔等)時,默認所載入的zip檔是安全的,所以沒有安全掃描、驗證程式,這使得駭客可以藉此感染並潛藏到zip裡,當APP進行解壓縮操作時,可以趁機進入APP內部,實現感染入侵。
利用該漏洞的攻擊者可以直接在用戶手機中植入木馬,盜取用戶的短信照片等個人隱私,盜取銀行、支付寶等帳號密碼等。目前補天已經將相關詳情通知給各大安全應急響應中心,並敦請廠商收到詳情及時自查,如果自家APP存在相關安全問題,需及時修復。
多名業內人士評價,按照風險評估,該漏洞的經濟價值難以估量。
|
|
在線雷達
發表於 2015-7-2 16:34:42
廣播
置頂
推舊帖
收嗲鳥
油顏色
