黑客是如何远程攻破你的黑客是如何远程攻破你的Android手机的手机的
“你走进一个咖啡店坐下来。等咖啡的时候,你拿出你的智能手机开始玩一款你前些天下载的游戏。接着,你继续工作并且在
电梯里收邮件。在你不知情下,有攻击者获取了公司网络的地址并且不断地感染你所有同事的智能手机。
等下, 什么?
我们在Bromium实验室博客上不会谈论Android太多。但是不时地我们喜欢修修补补。近来,我的同事Thomas Coudray 和我
探索了下Android远程代码执行的易损性,想弄明白易损性在现实应用中是多大的问题。
尽管权限提升技术在Android上很普遍(并形成了“root”设备的惯例),但远程代码执行是一种罕见且危险得多的漏洞。它允许
攻击者不经授权就在用户设备上执行特定代码。这个Bug特别另人关注,因为,即使在它被修复后过了18个月,在安装了所有
补丁的最新型的Android设备上仍可被利 用。我们想看看,如果这是真的,利用此漏洞需要付出多少努力。我们发现上述场景
完全可能发生。
我们用了两种不同的方法研究此Bug。首先,我们尝试在类似公共WIFI的环境中利用它,也就是你可能在咖啡店中遇到到环
境。我们启动了一些 Android设备和廉价的网络设备,开始攻击。第二步是估计普通用户有多大的可能遇到这种最坏的情形。
为此,我们使用了统计分析技术,看看有多少有漏洞 的App和设备。
在开始细节之前,先了解一下此Bug的背景知识:
背景知识
它始于2012年的Javascript在addJavascriptInterface API中的远程代码执行Bug,CVE-2012-6636(详情见此处和此处)。此
Bug允许Javascript代码获得访问系统的更大权限,这并非开发者的本意。至此,如此糟糕。MWR的研究人员在几个月后的研
究结果显示有大量App使用了广告供应商的框架程序,而这些框架程序通常受此Bug影响而且还在运行时下载Javascript代码。
这些因素结合起来意味着,大量的App采用不安全的方式从互联网下载Javascript代码,因此恶意攻击者劫持下载并发动远程
代码执行的攻击并不难。
还没修复?
Android 4.2修复了这个潜在的javascript漏洞。不幸的是,由于向后兼容的原因,修复只意味着在特定的场景中关闭了漏洞。
现实中的Android版本碎 片化和Android上的广告商业模式意味着这些场景并不常见。我们检查了Google Play上的100,000个
APK文件,发现大约有12%即使运行在最新的Android设备上仍然有漏洞风险。
APK分析结果:一半没有漏洞风险,因为它们的目标SDK版本大于或等于17;剩下的31%没有使用存在漏洞的API;7%由于
APK混淆或分析出错而没有分析。
另外,不管此漏洞是否被修复,超过50%的Android设备仍旧使用着低于4.2的版本。对于这些设备,没有修复程序,它们依旧
存在漏洞风险。
技术点
为了修复成功,调用addJavascriptInterface的程序必须编译为API 17及以上,也就是说你的目标Android版本必须是4.2及以后
评论0