Android设备中的“Fake ID”漏洞允许恶意应用程序伪装成可信任的程序,使机密数据面临风险,同时加剧了BYOD安全问题。
谷歌Android “Fake ID”漏洞允许攻击者将恶意应用程序伪装成可信任的程序,使得数百万智能手机和平板电脑用户的敏感信息处于威胁之中,并瞬时提升了大家对“有效应对BYOD风险”的关注。
发现该漏洞的Bluebox实验室将它称为Fake ID,这个漏洞可以追溯到2010年1月,来自Apache Harmony(现已解散)的代码被引入到Android平台。它影响着Android版本2.1到4.3;谷歌在4月的KitKat版本中修复了这个漏洞。然而,根据谷歌的报告显示,大约有82%的Android设备仍然在未修复该漏洞的平台运行。
该Android漏洞出现在当恶意应用程序使用受信任程序的ID时,即数字签名方面出了问题。在Bluebox的博客中,首席技术官Jeff Forristal使用Adobe系统为例:Adobe拥有自己的数字签名,并且来自Adobe的所有程序都是用基于该签名的ID。由于Android授予Adobe特权,使用Adobe ID的任何应用程序或程序都会绕过安全检查,并且本质上都是可信的。
通过使用ID假冒Adobe的应用程序可能会渗透到设备中,而且操作系统和用户不会感觉到任何异样。Forristal还指出了另外两个可能的危险情景,包括一个应用程序伪装成谷歌钱包的签名来访问设备的近场通信芯片来收集财务、支付和其他敏感用户数据,以及一个应用程序使用3LM软件的ID(现已解散的皮肤生产厂家)来控制设备和植入恶意软件。
这个问题不仅限于单个公司、应用程序或签名,在很多情况下,即使设备管理软件也可能上当,如果不及时更新的话。
在今年3月份,Bluebox将这个漏洞报告给了谷歌,谷歌在4月份迅速发布了补丁给制造商、Android合作伙伴和Android开源项目,制造商有90天时间来部署。谷歌还声称Google Aplay和Verify Apps的安全性已经被更新来检测该问题。谷歌在声明中指出:“现在,我们已经扫描了提交到Google Play的所有应用程序,以及谷歌从Google Play以外审查的程序,我们没有看到任何证据表明对该漏洞的利用。”
想要保护用户和BYOD员工免受Fake ID漏洞影响,企业在下载应用时需要做出明智的决策。仅下载Google Play商店中获批准的应用,永远不要使用来自不受信任来源的应用。更新版本的反恶意软件也应该能够检测到该漏洞。
为了缓解企业BYOD风险,安全部门应该使用应用程序白名单来批准受信任的应用;培训员工如何避免网络钓鱼攻击;使用具有应用缝隙的软件;并且,为了获得最高安全性,企业可以构建企业应用商店,其中提供企业认可的应用来供员工下载。
Bluebox还发布了Bluebox Security Scanner,这可以检测Fake ID漏洞。目前关于该漏洞是如何被发现的细节还没有公布,Forristal会在黑帽大会上公布调查结果。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
翻译
相关推荐
-
警惕!垃圾邮件程序窃取7.11亿条记录
安全研究人员发现包含大量电子邮件地址和密码的垃圾邮件程序(spambot)列表,并称这表明我们需要更多地了解垃圾邮件程序业务。
-
亚信安全网络安全威胁报告:APT攻击不断,金融业成威胁重灾区
近日,亚信安全发布《2016年第三季度网络安全威胁报告》,报告显示APT攻击在本季度持续活跃,特别是Rotten Tomato APT组织瞄准企业用户以窃取机密信息。
-
警惕!谷歌Adsense恶意软件悄然传播给Android用户
卡巴斯基实验室的新研究发现Svpeng手机银行木马的新变种正被传播到Android设备,而且不需要任何用户交互……
-
Android勒索软件现新变种,重点是其可在移动设备中直接创建
研究机构称发现已知勒索软件Android.Lockdroid.E的新变种,要命的是这些变种利用Andriod集成开发环境(AIDE),可在Android设备上直接开发而成……