日前,谷歌批量修復(fù)了多個(gè)Android漏洞。由360發(fā)現(xiàn)的多個(gè)漏洞已被谷歌確認(rèn)并修復(fù),同時(shí)谷歌也在公告中再度向360致謝。受到谷歌致謝的Android5.0屏幕錄制漏洞由于存在極大安全威脅,360近日也發(fā)布了詳細(xì)報(bào)告解析漏洞,避免漏洞被利用肆虐Android用戶。
360再受谷歌致謝 漏洞發(fā)現(xiàn)并非偶然
360互聯(lián)網(wǎng)安全中心日前發(fā)布的《Android5.0屏幕錄制漏洞(CVE-2015-3878)威脅預(yù)警》提到,低技術(shù)門檻的漏洞利用或木馬制作隱藏極大安全威脅,當(dāng)這種安全威脅遇上低安全意識(shí)的手機(jī)用戶時(shí),則可能導(dǎo)致Android平臺(tái)惡意軟件大規(guī)模爆發(fā)。360互聯(lián)網(wǎng)安全中心此次向谷歌提交的漏洞完全能夠激發(fā)以上兩個(gè)條件,隨時(shí)可能大規(guī)模爆發(fā)。
《報(bào)告》作者李平一直認(rèn)為,Android平臺(tái)上能大規(guī)模感染用戶的手機(jī)病毒,并不是那些技術(shù)門檻很高、利用了很多核心技術(shù)的系統(tǒng)漏洞的病毒。
2014年肆虐Android平臺(tái)的“XX神器”、大規(guī)模感染用戶的“FakeTaobao木馬家族”、近來感染眾多用戶的“流量僵尸木馬”,都是此類低技術(shù)門檻的手機(jī)病毒。李平非常擅長分析病毒特點(diǎn),并尋根溯源,通過共性發(fā)現(xiàn)漏洞,從而控制威脅的蔓延。根據(jù)這些病毒特點(diǎn),在使用Android5.0的屏幕錄制功能時(shí),李平非常敏感的發(fā)現(xiàn)了這個(gè)很容易被利用的UI漏洞。
利用漏洞可隨意盜取用戶網(wǎng)銀
李平介紹,利用該漏洞,攻擊者只需給惡意程序制造一段讀起來很“合理的”應(yīng)用程序名,就可以將Android5.0錄屏功能的提示框變成一個(gè)UI陷阱,使其失去原有的“錄屏授權(quán)”提示功能,惡意程序能夠在用戶不知情的情況下錄制用戶手機(jī)屏幕。
由此演變,這一漏洞對用戶個(gè)人隱私及財(cái)產(chǎn)安全構(gòu)成極大威脅?!秷?bào)告》中,360團(tuán)隊(duì)針對某銀行客戶端(Android版)編寫了一款漏洞測試樣本,通過樣本演示了如何利用該漏洞。一旦APP名稱被無限加長,手機(jī)用戶就極難發(fā)現(xiàn)自己點(diǎn)擊同意的是錄制屏幕,惡意軟件作惡方式極其隱蔽。
如用戶在啟動(dòng)銀行客戶端后,該程序會(huì)發(fā)動(dòng)錄制屏幕請求,而通過事先代碼編寫,提示框會(huì)顯示大段仿冒的銀行風(fēng)險(xiǎn)提示。實(shí)際上,真實(shí)的提示消息完全被大量的“仿冒”提示掩蓋,“將開始截取您的屏幕上顯示的所有內(nèi)容”這種風(fēng)險(xiǎn)提示則很難被發(fā)現(xiàn)。
如此,黑客便能從后臺(tái)錄制用戶的一切操作,這樣能夠成功竊取用戶在登錄該銀行客戶端時(shí)輸入的銀行賬號及密碼。不僅如此,《報(bào)告》中也分析指出,利用此漏洞的木馬還可以輕而易舉的獲取用戶QQ、微信等任何想要監(jiān)控的軟件用戶名及密碼,且能夠掌握任何手機(jī)界面的操作情況。
99.9%的Android軟件受漏洞影響
360《報(bào)告》評估后表明,對于該漏洞,約99.9%的Android軟件都沒有抵御潛在威脅的能力;國內(nèi)的234款手機(jī)銀行、信用卡客戶端軟件中,96.2%的軟件遇到此類威脅時(shí)無法保證用戶賬戶信息安全性;檢測發(fā)現(xiàn),國內(nèi)主流社交軟件無一能夠抵抗這種潛在威脅;16款主流電商及支付類應(yīng)用均不能抵抗其威脅。
《報(bào)告》中還提出了防范建議和漏洞補(bǔ)丁說明,以免漏洞被利用致Android用戶受到威脅。此次由360互聯(lián)網(wǎng)安全中心發(fā)現(xiàn)的漏洞,已被谷歌確認(rèn)為中危漏洞并進(jìn)行了修復(fù)。為此,谷歌在公告中也再度向360致謝。
除了谷歌之外,360因發(fā)現(xiàn)并協(xié)助修復(fù)漏洞還獲得來了微軟、蘋果、Adobe等巨頭的致謝。其中,8月14日,360安全團(tuán)隊(duì)向蘋果提交的兩個(gè)漏洞也被確認(rèn)并修復(fù),并獲得蘋果公開致謝;自2009年以來,360已累計(jì)86次獲微軟安全公告致謝,在全球安全軟件廠商中排名首位。