谷歌致谢360发现Android5.0录屏漏洞 近十成软件受影响
日前,谷歌批量修复了多个Android漏洞。由360发现的多个漏洞已被谷歌确认并修复,同时谷歌也在公告中再度向360致谢。受到谷歌致谢的Android5.0屏幕录制漏洞由于存在极大安全威胁,360近日也发布了详细报告解析漏洞,避免漏洞被利用肆虐Android用户。
360再受谷歌致谢漏洞发现并非偶然
360互联网安全中心日前发布的《Android5.0屏幕录制漏洞(CVE-2015-3878)威胁预警》提到,低技术门槛的漏洞利用或木马制作隐藏极大安全威胁,当这种安全威胁遇上低安全意识的手机用户时,则可能导致Android平台恶意软件大规模爆发。360互联网安全中心此次向谷歌提交的漏洞完全能够激发以上两个条件,随时可能大规模爆发。
《报告》作者李平一直认为,Android平台上能大规模感染用户的手机病毒,并不是那些技术门槛很高、利用了很多核心技术的系统漏洞的病毒。
2014年肆虐Android平台的“XX神器”、大规模感染用户的“FakeTaobao木马家族”、近来感染众多用户的“流量僵尸木马”,都是此类低技术门槛的手机病毒。李平非常擅长分析病毒特点,并寻根溯源,通过共性发现漏洞,从而控制威胁的蔓延。根据这些病毒特点,在使用Android5.0的屏幕录制功能时,李平非常敏感的发现了这个很容易被利用的UI漏洞。
利用漏洞可随意盗取用户网银
李平介绍,利用该漏洞,攻击者只需给恶意程序制造一段读起来很“合理的”应用程序名,就可以将Android5.0录屏功能的提示框变成一个UI陷阱,使其失去原有的“录屏授权”提示功能,恶意程序能够在用户不知情的情况下录制用户手机屏幕。
图1:360专家分析漏洞原理
由此演变,这一漏洞对用户个人隐私及财产安全构成极大威胁。《报告》中,360团队针对某银行客户端(Android版)编写了一款漏洞测试样本,通过样本演示了如何利用该漏洞。一旦APP名称被无限加长,手机用户就极难发现自己点击同意的是录制屏幕,恶意软件作恶方式极其隐蔽。
图2:360专家测试漏洞如何被利用
如用户在启动银行客户端后,该程序会发动录制屏幕请求,而通过事先代码编写,提示框会显示大段仿冒的银行风险提示。实际上,真实的提示消息完全被大量的“仿冒”提示掩盖,“将开始截取您的屏幕上显示的所有内容”这种风险提示则很难被发现。
如此,黑客便能从后台录制用户的一切操作,这样能够成功窃取用户在登录该银行客户端时输入的银行账号及密码。不仅如此,《报告》中也分析指出,利用此漏洞的木马还可以轻而易举的获取用户QQ、微信等任何想要监控的软件用户名及密码,且能够掌握任何手机界面的操作情况。
图3:360《报告》提示防范建议避免Android用户受威胁
99.9%的Android软件受漏洞影响
360《报告》评估后表明,对于该漏洞,约99.9%的Android软件都没有抵御潜在威胁的能力;国内的234款手机银行、信用卡客户端软件中,96.2%的软件遇到此类威胁时无法保证用户账户信息安全性;检测发现,国内主流社交软件无一能够抵抗这种潜在威胁;16款主流电商及支付类应用均不能抵抗其威胁。
图4:360专家评估漏洞风险
《报告》中还提出了防范建议和漏洞补丁说明,以免漏洞被利用致Android用户受到威胁。此次由360互联网安全中心发现的漏洞,已被谷歌确认为中危漏洞并进行了修复。为此,谷歌在公告中也再度向360致谢。
除了谷歌之外,360因发现并协助修复漏洞还获得来了微软、苹果、Adobe等巨头的致谢。其中,8月14日,360安全团队向苹果提交的两个漏洞也被确认并修复,并获得苹果公开致谢;自2009年以来,360已累计86次获微软安全公告致谢,在全球安全软件厂商中排名首位。
《Android5.0屏幕录制漏洞(CVE-2015-3878)威胁预警》地址:http://http://www.zjjv.com///1101061855.php?dtid=1101061451&did=1101452330
声明:IT之家网站刊登/转载此文出于传递更多信息之目的,并不意味着赞同其观点或论证其描述。