IBM的X-Force应用安全研究团队近日发现了这一漏洞。攻击者可以利用这个任意代码执行漏洞给一款没有权限的恶意应用授权,提升其权限,黑客就可以借此操控设备。除了这个Android漏洞,研究人员还发现了几个存在漏洞的第三方Android SDK,可以帮助攻击者操控APP。
安全卫士指出,Android KitKat4.4及以后版本都基于Linux 3.6版本内核,这意味着全球有80%的Android智能手机用户,也就是14亿人都在使用存在严重安全漏洞的智能手机。
Google在回复科技媒体Ars Technica的信中表示:谷歌工程师已经知晓该漏洞并采取了相应措施,目前Linux内核已经修复了CVE-2016-5696这个漏洞,Android系统的修复也指日可待。
业内专家指出,安全卫士发现的这个漏洞虽然严重,但是短时间很难造成重大危害,因为这个漏洞只适合针对单个用户的点对点针对性攻击,黑客无法同时攻击大量用户,危害性有限。
但不好的消息是,漏洞CVE-2016-5696在中间人攻击之外为黑客提供了一个新的攻击面和渠道,黑客攻击个人用户时无需再从网络上做手脚,对于安全人士来说,这意味着新的威胁。此外,Android系统本身的碎片化,众多手机厂商的系统经常更新不及时或步调不一致,尤其是中国市场的 Android生态相对封闭,这些都给黑客利用已知漏洞提供了绝佳的土壤。
Android序列化漏洞(CVE-2015-3825)存在于Android平台本身,影响的版本包括4.3至5.1,也就是JellyBean、KitKat、棒棒糖和Android M预览版1,波及55%的Android设备。
研究人员的论文中介绍了一个可靠的PoC,能够演示攻击的可行性。这个PoC能够攻击高权限的system_server进程,这样就能够将权限提升至系统用户的级别,这种级别有相对宽松的SELinux配置,从而破坏行为会加大。
举例来说,攻击者可以通过替换目标应用的apk接管受害者手机上的任意应用。这就可以让攻击者以受害者的身份执行操作。另外,我们还可以利用Android Keychain应用运行shell命令,从设备中的所有应用中窃取数据。甚至还可以更改SELinux策略,在某些设备上还可以加载恶意的内核模块。
攻击过程
首先攻击者会做一个看起来没有安全隐患的APP,安装后,应用不会请求读取设备数据,因此用户会放松警惕。
但是一旦安装后,恶意软件就会用OpenSSLX509Certificate中的漏洞修改手机内存值,然后提权。进而用假的APP替换正规的APP,重启设备,重启后攻击者就可以收集用户数据了。
一旦恶意软件被执行,它就会用假APP替代真APP,攻击者便可以从应用中窃取敏感数据或者制造钓鱼攻击。视频中,研究人员将真的Facebook应用替换为名为Fakebook的假APP。
安全卫士提醒手机用户,访问页面是一定要擦亮双眼,以防受到损失。