《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 業(yè)界動(dòng)態(tài) > Android驚現(xiàn)最嚴(yán)重漏洞 木馬可隨意盜取文件

Android驚現(xiàn)最嚴(yán)重漏洞 木馬可隨意盜取文件

2010-11-26
作者:佚名
來源:驅(qū)動(dòng)之家MyDrivers

  Android系統(tǒng)在智能手機(jī)和平板機(jī)市場迅速崛起的同時(shí),安全問題也更加引人注目,近日一個(gè)涉及到全版本Android系統(tǒng)的惡意漏洞被公布,而這一漏洞很可能就是Google延遲發(fā)布Android 2.3版系統(tǒng)的原因。

  信息安全研究人員Thomas Cannon今天將這一漏洞公布于世,借助這個(gè)新的漏洞,惡意攻擊者可以在引誘用戶打開惡意網(wǎng)頁,手機(jī)內(nèi)置的瀏覽器就會(huì)下載并執(zhí)行一個(gè)Javascript木馬,該木馬可以獲取SD卡上指定的文件。

  Thomas Cannon在幾天前已經(jīng)通知了Google,Android開發(fā)團(tuán)隊(duì)在20分鐘內(nèi)做出了回應(yīng),并表示已經(jīng)針對(duì)該漏洞展示工作,將會(huì)在即將公布的Android 2.3版操作系統(tǒng)中進(jìn)行修復(fù)。

  但是這樣的修復(fù)并不能拯救全部的Android設(shè)備,因?yàn)樵?.3版系統(tǒng)發(fā)布之后只有少量機(jī)型能獲取更新,數(shù)以千萬計(jì)的Android設(shè)備要么不能更新2.3版系統(tǒng),要么運(yùn)行有廠商制作的自定用戶界面系統(tǒng),威脅仍會(huì)存在。Google應(yīng)該做的是針對(duì)不同版本系統(tǒng)推出單獨(dú)的瀏覽器升級(jí)或者修復(fù)補(bǔ)丁,才能將惡意網(wǎng)頁木馬拒之門外。

  以下為Thomas Cannon公布的漏洞詳情:

  在一天晚上對(duì)Android系統(tǒng)進(jìn)行應(yīng)用程序安全評(píng)估的時(shí)候,Thomas Cannon發(fā)現(xiàn)了一個(gè)全版本普遍存在的漏洞,惡意網(wǎng)站將可以獲取任何SD卡上存儲(chǔ)的文件。

  該漏洞的存在有多種因素,具體的實(shí)施過程為:

  - Android內(nèi)置瀏覽器不提示用戶靜默下載一個(gè)文件,比如“payload.html”,改文件會(huì)自動(dòng)下載到 /sdcard/download/payload.html目錄

  - 通過Javascript運(yùn)行該文件,并在Android瀏覽器中顯示這個(gè)本地文件,運(yùn)行過程沒有任何提示

  - 成功打開時(shí)候,Javascript將可以閱讀任何本地文件內(nèi)容和其他數(shù)據(jù)

  一旦Javascript獲取某個(gè)文件內(nèi)容之后,木馬將擁有自動(dòng)發(fā)送的功能和權(quán)限,將獲取的文件發(fā)送至指定位置。

  目前該漏洞也存在的限制,攻擊者必須指定要盜取的文件的路徑和名稱,比如要偷取用戶的照片,就必須指定照片文件夾和文件名。不過這樣的限制并不能困住攻擊者,因?yàn)榇蟛糠值氖謾C(jī)都會(huì)默認(rèn)某一類文件的目錄和存儲(chǔ)名稱,攻擊者只需要按照系統(tǒng)默認(rèn)設(shè)置手動(dòng)指定即可。

  另外一個(gè)限制就是不能像ROOT瀏覽器那樣訪問Android系統(tǒng)內(nèi)的受保護(hù)數(shù)據(jù),只能在沙箱中運(yùn)行,文件訪問范圍為SD卡或者其他少量數(shù)據(jù)。

  目前大家能做的也就是不要用手機(jī)訪問不明網(wǎng)站,還有拍照一定用相機(jī),千萬別用手機(jī)。

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。