Android系統(tǒng)在智能手機(jī)和平板機(jī)市場迅速崛起的同時(shí),安全問題也更加引人注目,近日一個(gè)涉及到全版本Android系統(tǒng)的惡意漏洞被公布,而這一漏洞很可能就是Google延遲發(fā)布Android 2.3版系統(tǒng)的原因。
信息安全研究人員Thomas Cannon今天將這一漏洞公布于世,借助這個(gè)新的漏洞,惡意攻擊者可以在引誘用戶打開惡意網(wǎng)頁,手機(jī)內(nèi)置的瀏覽器就會(huì)下載并執(zhí)行一個(gè)Javascript木馬,該木馬可以獲取SD卡上指定的文件。
Thomas Cannon在幾天前已經(jīng)通知了Google,Android開發(fā)團(tuán)隊(duì)在20分鐘內(nèi)做出了回應(yīng),并表示已經(jīng)針對(duì)該漏洞展示工作,將會(huì)在即將公布的Android 2.3版操作系統(tǒng)中進(jìn)行修復(fù)。
但是這樣的修復(fù)并不能拯救全部的Android設(shè)備,因?yàn)樵?.3版系統(tǒng)發(fā)布之后只有少量機(jī)型能獲取更新,數(shù)以千萬計(jì)的Android設(shè)備要么不能更新2.3版系統(tǒng),要么運(yùn)行有廠商制作的自定用戶界面系統(tǒng),威脅仍會(huì)存在。Google應(yīng)該做的是針對(duì)不同版本系統(tǒng)推出單獨(dú)的瀏覽器升級(jí)或者修復(fù)補(bǔ)丁,才能將惡意網(wǎng)頁木馬拒之門外。
以下為Thomas Cannon公布的漏洞詳情:
在一天晚上對(duì)Android系統(tǒng)進(jìn)行應(yīng)用程序安全評(píng)估的時(shí)候,Thomas Cannon發(fā)現(xiàn)了一個(gè)全版本普遍存在的漏洞,惡意網(wǎng)站將可以獲取任何SD卡上存儲(chǔ)的文件。
該漏洞的存在有多種因素,具體的實(shí)施過程為:
- Android內(nèi)置瀏覽器不提示用戶靜默下載一個(gè)文件,比如“payload.html”,改文件會(huì)自動(dòng)下載到 /sdcard/download/payload.html目錄
- 通過Javascript運(yùn)行該文件,并在Android瀏覽器中顯示這個(gè)本地文件,運(yùn)行過程沒有任何提示
- 成功打開時(shí)候,Javascript將可以閱讀任何本地文件內(nèi)容和其他數(shù)據(jù)
一旦Javascript獲取某個(gè)文件內(nèi)容之后,木馬將擁有自動(dòng)發(fā)送的功能和權(quán)限,將獲取的文件發(fā)送至指定位置。
目前該漏洞也存在的限制,攻擊者必須指定要盜取的文件的路徑和名稱,比如要偷取用戶的照片,就必須指定照片文件夾和文件名。不過這樣的限制并不能困住攻擊者,因?yàn)榇蟛糠值氖謾C(jī)都會(huì)默認(rèn)某一類文件的目錄和存儲(chǔ)名稱,攻擊者只需要按照系統(tǒng)默認(rèn)設(shè)置手動(dòng)指定即可。
另外一個(gè)限制就是不能像ROOT瀏覽器那樣訪問Android系統(tǒng)內(nèi)的受保護(hù)數(shù)據(jù),只能在沙箱中運(yùn)行,文件訪問范圍為SD卡或者其他少量數(shù)據(jù)。
目前大家能做的也就是不要用手機(jī)訪問不明網(wǎng)站,還有拍照一定用相機(jī),千萬別用手機(jī)。