企業安全領域引領者Palo Alto Networks®(紐約證券交易所:PANW)近日披露Google的Android流動作業系統中普遍存在的漏洞細節,攻擊者可以劫持使用者裝置上看似安全的Android應用程式-Android套件(APK),並在使用者不知情下替換為攻擊者選用的應用程式。
攻擊者可以利用該漏洞散佈惡意軟件、損害裝置和竊取使用者資料,估計約49.5%的Android裝置使用者會受到影響。Palo Alto Networks今日推出了一款應用程式,以幫助可能受影響的Android用家來診斷其裝置是否存在該漏洞。
漏洞導致隱形誘導轉向 (Stealth Bait and Switch)
Palo Alto Networks的Unit 42威脅情報研究員Zhi Xu在Android的 「PackageInstaller」系統服務中發現此漏洞,攻擊者利用該漏洞不受限制地悄悄入侵已損害的裝置。具體來說:
- 在安裝過程中,Android應用程式會列出所需的許可權列表以執行其功能,如短訊應用程式請求擷取短訊訊息,而不是GPS定位系統。
- 該漏洞透過顯示一個虛假的、限制性更多的許可權欺騙用家,同時卻可以自由擷取用家裝置中的所有服務和資料,包括個人資訊和密碼。
- 當用家認為他們正在安裝一個定義明確、具限定許可權的手電筒程式或手機遊戲時,實際上是讓具有潛在危險的惡意軟件運行。
Palo Alto Networks的威脅情報團隊Unit 42,已與Google和Android裝置製造商如三星和亞馬遜合作,以協助保護用家資訊並修補已受該漏洞影響的Android版本的裝置。一些舊版本的Android裝置可能仍然會受到該漏洞的威脅。
引用:
- 「這個Android漏洞意味著那些認為他們正在使用已獲批准許可權的合法應用程式的用家反而有可能面對資料被盜和遭受惡意軟件的攻擊。我們呼籲用家可以利用Palo Alto Networks提供的診斷應用程式來檢測自己的裝置,同時我們也感謝Google、三星和亞馬遜的配合和關注。」
- Palo Alto Networks Unit 42情報總監Ryan Olson
如何降低風險
日前披露的漏洞會影響從第三方來源下載的Android應用程式,而從Google Play下載的應用程式則不受影響。Palo Alto Networks對使用Android裝置而擔心惡意軟件風險的企業提供以下建議:
- 對於存在漏洞的裝置,只安裝來自Google Play的軟件應用程式;這些檔案被下載到一個受保護的空間中,而攻擊者無法覆蓋這個空間。
- 使用Android4.3_r0.9以及更高版本的流動裝置,值得留意的是,一些Android4.3的裝置也被發現存在漏洞。
- 不提供應用程式使用logcat的權限。Logcat是一個系統日誌,可用於簡化及自動化資料資訊。Android4.1以及更高版本的Android系統已禁止應用程式使用系統logcat以及其他的安裝程式。但在已經Root的Android4.1或更高版本流動裝置上,已安裝的應用程式仍可使用其它應用程式的logcat。
- 禁止企業使用者在企業網絡中使用Root裝置。
欲了解更多資訊:
- 欲了解該漏洞的細節以及訂閱定期的研究和分析更新內容,請瀏覽Unit 42網誌:http://researchcenter.paloaltonetworks.com/2015/03/android-installer-hijacking-vulnerability-could-expose-android-users-to-malware/
- 觀看描述Android安裝程式劫持短片,了解Android裝置存在的漏洞以及原因:http://youtu.be/81slOhjrZXY
- 從Palo Alto Networks下載掃描器應用程式:
o 透過 GitHub:
https://github.com/PaloAltoNetworks-BD/InstallerHijackingVulnerabilityScanner
o 透過 Google Play: http://play.google.com/store/apps/details?id=com.paloaltonetworks.ctd.ihscanner
· 欲了解Palo Alto Networks威脅情報團隊有關新研究、更新及已確認的演講,請瀏覽https://www.paloaltonetworks.com/threat-research.html。
· 欲了解Palo Alto Networks企業安全平台,請瀏覽:https://www.paloaltonetworks.com/products/platforms.html。
· 欲解決您最艱鉅的安全挑戰,請參加將於2015年3月30日至4月1日在拉斯維加斯舉行的Ignite 2015, Unit 42團隊工程師恭候您的大駕光臨。點擊https://ignite2015.paloaltonetworks.com/portal/createAccount.ww註冊。