搜索歷史

熱搜詞

原創(chuàng)

活動(dòng)

創(chuàng)新2.0

I T

產(chǎn)業(yè)

當(dāng)前位置：首頁(yè) >互聯(lián)網(wǎng)?IT > 安全 > 移動(dòng)安全 > 正文

安卓自身安全缺陷致“寄生獸”漏洞曝光

來源：賽迪網(wǎng) ：子鉃 2015-07-02 15:18:33

日前，360手機(jī)安全研究團(tuán)隊(duì)vulpecker team，向補(bǔ)天漏洞響應(yīng)平臺(tái)提交了其發(fā)現(xiàn)的安卓APP新型通用安全漏洞“寄生獸”，這個(gè)漏洞影響市面上數(shù)以千萬的APP，眾多流行APP也包括在內(nèi)，影響范圍包括百度、騰訊、阿里等眾多廠商的移動(dòng)產(chǎn)品。

“寄生獸”APK緩存劫持漏洞的核心有兩點(diǎn)，一是軟件開發(fā)者沒有考慮odex的安全問題，另外是沒有對(duì)zip解壓縮時(shí)的惡意文件名做檢測(cè)，所以防護(hù)上也應(yīng)該從這方面做考慮。

由于安卓自身的安全缺陷，使其沒有對(duì)odex進(jìn)行強(qiáng)校驗(yàn)，所以會(huì)導(dǎo)致黑客對(duì)駐留在系統(tǒng)緩存里的odex文件注入惡意代碼。臨時(shí)解決方法就需要軟件開發(fā)者舍棄部分APP快速啟動(dòng)的特性，每次啟動(dòng)APP時(shí)先清空系統(tǒng)緩存里舊的、可能已經(jīng)被病毒感染的odex文件，然后加載新的、沒有被病毒感染的odex文件。

APP在加載基礎(chǔ)模塊(比如APP皮膚文件等)時(shí)，默認(rèn)所加載的zip文件是安全的，所以沒有安全掃描、驗(yàn)證程序，這使得黑客可以藉此感染并潛藏到zip里，當(dāng)APP進(jìn)行解壓縮操作時(shí)，可以趁機(jī)進(jìn)入APP內(nèi)部，實(shí)現(xiàn)感染入侵。

利用該漏洞的攻擊者可以直接在用戶手機(jī)中植入木馬，盜取用戶的短信照片等個(gè)人隱私，盜取銀行、支付寶等賬號(hào)密碼等。目前補(bǔ)天已經(jīng)將相關(guān)詳情通知給各大安全應(yīng)急響應(yīng)中心，并敦請(qǐng)廠商收到詳情及時(shí)自查，如果自家APP存在相關(guān)安全問題，需及時(shí)修復(fù)。

多名業(yè)內(nèi)人士評(píng)價(jià)，按照風(fēng)險(xiǎn)評(píng)估，該漏洞的經(jīng)濟(jì)價(jià)值難以估量。

編輯：閆春春

關(guān)鍵字：安卓漏洞缺陷