在研究人员将Stagefright漏洞披露出来之后,现在谷歌公司又在其安卓系统中发现了另一个严重的安全漏洞。
权限提升漏洞允许普通的应用程序得到能够窥探设备各项数据的超级权限,然后悄悄地在设备中安装恶意软件,并造成其他严重的后果。研究人员在下面的视频中进行了演示操作。
这个漏洞代码为CVE-2015-3825,它影响了大约55%的安卓手持设备,这些受影响的设备系统基本上都是4.3版本以及更高级版本的系统,其中也包括当前最热门的Android M。
安卓系统中OpenSSLX509Certificate类的漏洞可以被普通的应用程序利用,然后攻击系统的system_server进程,进而获取设备系统级别的访问权限。
Or Peles是IBM公司X-Force应用安全研究团队的一名安全研究人员,Or Peles说到:“简单来讲,一名技术高超的攻击者可以利用这个任意代码执行漏洞,然后将一个恶意应用程序通过权限提升,将其变成一个“超级应用程序”,并帮助网络犯罪分子成功获取目标设备的控制权。”
他还补充说到:“除了这个安卓漏洞之外,公司的安全研究团队还发现了几个存在于第三方安卓软件开发套件(SDKs)之中的漏洞,这些漏洞可以帮助攻击者得到手机应用程序的控制权。”
漏洞的工作机制是这样的,攻击者会给用户们提供一个外表看似正常的应用程序,当用户安装了这个程序之后,这个看似正常的恶意程序并不会向用户请求设备的数据访问权限,这样的机制会让应用程序的安装用户产生一种虚假的安全感。
用户一旦安装完成之后,这个恶意软件便会利用OpenSSLX509Certificate漏洞来修改手持设备的内存值,并实现它的特权提升。然后,攻击者就可以引入一个合法的应用程序,并替换设备中已存在的应用程序,当设备重新启动之后,攻击者就可以开始收集设备中的数据了。
好消息是,公司已经发布了能够修复这个漏洞的更新补丁,而且目前来说,还没有发生由次漏洞而引发的安全事件。但坏消息就是,大多数的安卓用户并没有接收到这个更新补丁的推送,而且很多安卓用户必须等待一段时间才能接收到该更新补丁的推送(谷歌公司的新政策,按月给用户推送更新补丁)。
2015年的USENIX进攻技术研讨会举办于美国的华盛顿特区,关于此漏洞的完整信息也已经在研讨会上公布了出来。
……