IBM 旗下X-Force 应用安全研究团队的研究人员,在 Android 和某些热门应用的 SDK 上发现了一套漏洞。其中最糟糕的竟然可以让一个看似无害的应用在设备上运行任意代码,并且影响全球 55% 的 Android 设备(版本 4.3 及以上)。该团队在视频中进行了概念验证,并且成功替换了设备上的 Facebook app。
据悉,Google 和 SDK 的开发商均以提供了软件补丁,但考虑到非 Nexus 设备的更新推送工作必须通过原始设备制造商(OEM)或运营商进行,所以当前绝大多数用户仍面临相当大的风险。 研究人员表示,目前暂未在外界看到任何利用该漏洞的情况,但情况很可能在任何时刻发生改变。 该漏洞主要归咎于 Android 在进程间通讯(IPC)时的薄弱代码,更具体点说就是 OpenSSLX509Certificate 类。 攻击者可以在无需特殊权限的情况下,利用该漏洞将恶意代码诸如到 IPC 请求队列中,如此一来,该应用就能够获得系统级的权限。 WOOT15 One Class To Rule Them All 研究人员在某些应用的 SDK 中也发现了类似漏洞,在调查的 37701 款 app 中,有许多都涉及这方面,甚至有些应用依赖于高达 6 个的风险 SDK。 通过一款名叫 SWIG 的低级别工具包,攻击者可以很轻松地向目标注入代码。在这种情况下,恶意应用可以假借某个脆弱的 app 之手获取相同的权限,甚至完全访问该应用的程序、数据和功能。 有关这些漏洞的详情,已经发表在 IBM Security 的研究论文上(PDF 传送门) [编译自:TechReport , via:Security Intelligence] |
