安卓隱患:防毒軟件無法偵測木馬
鳳凰科技訊 北京時間8月5日消息,據(jù)科技博客PCWorld報道,在拉斯維加斯舉辦的黑客安全大會(Defcon security conference)上,專家指出,谷歌安卓平臺內(nèi)置的一鍵谷歌授權(quán)功能允許用戶在谷歌網(wǎng)頁上、無需重復(fù)輸入密碼即可登錄各種應(yīng)用,這使得谷歌賬戶面臨被流氓軟件(rogue apps)攻擊的風(fēng)險。
這種功能俗稱為“網(wǎng)頁登陸(weblogin)”,通過產(chǎn)生一個固定的代理、直接利用在設(shè)備上已授權(quán)的賬戶登錄谷歌網(wǎng)頁上的應(yīng)用。安全公司絆網(wǎng)(Tripwire)的研究員克雷格•楊(Craig Young)表示,網(wǎng)頁登陸能提供更好的用戶體驗,但其卻對用戶個人的谷歌賬戶、以及谷歌應(yīng)用商城賬戶造成潛在隱私和安全威脅。楊還展示了黑客如何利用一款流氓軟件偷取用戶的網(wǎng)頁登陸代理、隨后將其發(fā)回給黑客,使其能夠利用這些賬戶侵入用戶的網(wǎng)頁瀏覽器、以獲取該用戶在谷歌應(yīng)用商城、電郵、云盤(Drive)、日歷、聲音(Voice)以及其他谷歌服務(wù)上的信息。
楊所展示的這款流氓軟件偽裝成一款在谷歌Play上發(fā)布、可觀看谷歌財經(jīng)的股票查詢應(yīng)用。在安裝此款應(yīng)用時,其將詢求用戶同意以便獲得直接接入設(shè)備賬戶、并通過此賬戶直接聯(lián)網(wǎng)。在運行時,這個應(yīng)用又將再次尋求用戶同意、以便能夠利用網(wǎng)頁登陸功能接入URL——其中包括谷歌財經(jīng)的網(wǎng)站finance.google.com。這第二個步驟看似并未提供實質(zhì)信息,故大多數(shù)用戶都會同意接受。而一旦用戶同意,一個網(wǎng)頁登陸的代理就會生成,用戶便能自動登入谷歌財經(jīng)的網(wǎng)站。與此同時,這個代理也將通過一個加密的連接被虹吸出來至黑客的服務(wù)器。
楊表示,更關(guān)鍵的問題在于,這個網(wǎng)頁登陸的代理并不僅僅能登陸谷歌財經(jīng),其能夠登陸所有谷歌所提供的服務(wù)。比如說,其能夠讓黑客進(jìn)入用戶的谷歌硬盤獲取資料、通過電郵發(fā)郵件、在日歷應(yīng)用中編輯日程、接入谷歌網(wǎng)頁搜索歷史、或是存放在谷歌應(yīng)用商城額敏感性的公司數(shù)據(jù)。其同時也能夠接入用戶在谷歌Play上的賬戶,并遠(yuǎn)程在用戶設(shè)備上安全應(yīng)用、或是在支持谷歌聯(lián)合登陸(Google Federated Login)的第三方網(wǎng)頁上登陸。
如果用戶是一個公司谷歌應(yīng)用商城域名的管理員,這樣的攻擊將會影響到該公司整蠱谷歌應(yīng)用商城的運營。黑客將能夠重設(shè)域名密碼、創(chuàng)造或修改全線、郵件列表、甚至是管理者。據(jù)楊稱,這樣的潛在威脅已經(jīng)于今年2月反饋給了谷歌,其已開始禁止一些黑客攻擊后可以運行的權(quán)限。比如說,入股偶一個黑客通過網(wǎng)頁登陸代理獲得授權(quán),其不能使用谷歌外賣(Google Takeout)服務(wù)來獲得整個谷歌賬戶的權(quán)限,也不能增加新的谷歌應(yīng)用商城用戶——盡管仍舊有些方法使得后一種禁令變得無效。
楊利用其設(shè)計的應(yīng)用程序展示了網(wǎng)頁登陸代理能夠很快生效,因為其采用了標(biāo)準(zhǔn)安卓API(application programming interface,應(yīng)用程序界面)來獲得這個代理。然而,如果應(yīng)用程序利用漏洞來獲得設(shè)備的根權(quán)限,其將能夠在不經(jīng)用戶確認(rèn)的情況下直接獲得這個代理。研究員表示,這樣的流氓軟件很可能在谷歌Play里面潛伏一個月——直到有人將其視為惡意軟件報告給谷歌,但在此期間,谷歌Play搜索惡意應(yīng)用的服務(wù)Bouncer并不能探測出該流氓軟件。即便其能夠探測出該軟件,Bouncer也不會將其報告為惡意軟件,這就給Bouncer的有效性帶來了挑戰(zhàn)。
在這種流氓軟件被報告為惡意軟件之后,谷歌Play就會將其移除。如果用戶仍舊嘗試安裝這款軟件,安卓本地應(yīng)用認(rèn)證功能則會將其視為后門程式而屏蔽。大部分安卓防毒產(chǎn)品無法偵測出楊所展示的這款軟件為木馬程序,僅有一個私人咨詢軟件將這個流氓軟件報告為能夠接入賬戶的軟件。
防毒廠商比特凡德(Bitdefender)的首席安全策略師亞歷山德魯•卡特琳•柯索依(Alexandru Catalin Cosoi)表示:“楊今日的演講展示了,只要有足智多謀、肯下功夫,你便能輕易的侵入看起來保護的很好的系統(tǒng)。”柯索依認(rèn)為,唯一能夠阻止系統(tǒng)被侵入的方法就是增加攻擊的難度,以使得第一層鎖被破解之后還有一個新的鎖擺在面前。弱點是經(jīng)常能被找到的,所以持續(xù)性的研究毫無疑問能夠提升諸如谷歌Bouncer這樣的系統(tǒng),使得黑客要攻擊需付的代價更大。
楊稱,企業(yè)不允許其IT管理員在他們的安卓設(shè)備上使用谷歌賬戶。而用戶也應(yīng)該警惕那些要求賬戶授權(quán)的應(yīng)用,且對于要求采用網(wǎng)頁登陸等方式的請求說“不”。谷歌應(yīng)增加一個選項,允許谷歌應(yīng)用商城域名所有者阻止利用網(wǎng)頁登陸的方式接入谷歌應(yīng)用商城。同時,谷歌也應(yīng)使得網(wǎng)頁登陸的請求涵蓋更多的信息,使得用戶清楚地知道他們的權(quán)限何在。
本文由站河南北大青鳥校區(qū)整編而成,如需了解更多IT資訊類的文章、新聞、課程和學(xué)習(xí)技巧、就業(yè)案例、招生詳情等問題,可以對在線咨詢老師進(jìn)行一對一問答!
推薦資訊
- 鄭州北大青鳥翔天信鴿計算機學(xué)校... 2023-04-15
- Java開發(fā)工程師必須掌握以下十項... 2013-02-18
- 初高中畢業(yè)不上學(xué)現(xiàn)在學(xué)什么技術(shù)... 2023-08-31
- 鄭州有沒有比較好的安卓培訓(xùn)學(xué)校... 2012-10-13
- 河南電腦學(xué)校:Opera開始推適用于... 2012-06-18
熱點資訊
- 如何從外置硬盤中清除感染病毒... 2017-06-11
- 谷歌瀏覽器用戶密碼安全難保... 2017-06-11
- 網(wǎng)站安全性需要注意哪些方面... 2017-06-11
- Linux中服務(wù)器軟件為什么需要編譯... 2017-06-11
- 安卓隱患:防毒軟件無法偵測木馬... 2013-08-06