压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

針對21個免費的Android防病毒應用程序進行全面測試，發(fā)現(xiàn)了大量安全漏洞和隱私問題;?尤其適用于AEGISLAB，BullGuard，dfndr和VIPRE。

在最近的測試中，一系列流行的免費Android防病毒應用程序被證明存在安全漏洞和隱私問題 – 包括暴露用戶地址簿的重要漏洞，以及另一個嚴重漏洞，使攻擊者能夠完全關閉防病毒保護。

根據(jù)這21個Android防病毒軟件供應商的Comparitech的分析，測試的三個應用程序（來自VIPRE Mobile，AEGISLAB和BullGuard）存在嚴重的安全漏洞，7個應用程序無法檢測到測試病毒。總共有47％的測試供應商在某種程度上失敗了。

安全漏洞

VIPRE的受歡迎的應用程序被發(fā)現(xiàn)有兩個不安全的直接對象引用（IDOR）錯誤，其中包括一個嚴重的缺陷，使高級用戶的通訊錄同步有可能使他們的聯(lián)系人被盜，包括全名，照片，地址和敏感的個人筆記信息。

“使用在線儀表板，我們發(fā)現(xiàn)攻擊者可以通過啟用云同步來訪問VIPRE Mobile用戶的地址簿，”Comparitech的研究人員周四在一篇博客中表示。“基于我們的概念驗證和應用程序的受歡迎程度，我們估計有超過一百萬的聯(lián)系人在網(wǎng)絡上無擔保。”

該缺陷是由于訪問控制中斷或實施不當造成的，這表現(xiàn)為VIPRE Mobile后端的IDOR漏洞。

“負責的腳本只檢查以確保攻擊者已登錄，”研究人員說。“沒有進一步檢查以確保請求是由適當?shù)脑O備或帳戶執(zhí)行的。”

另一個嚴重的缺陷為攻擊者發(fā)送虛假的防病毒警報打開了大門。

研究人員說：“生成欺詐性警報并將其發(fā)送給毫無戒心的用戶是微不足道的。”?“我們發(fā)現(xiàn)我們可以編輯警報請求中的字段，讓它說出我們想要的任何內容。我們能夠通過捕獲發(fā)現(xiàn)病毒時生成的請求來推送虛假警報，然后操縱請求以更改用戶ID和其他參數(shù)。結果是在受害者的VIPRE Mobile儀表板上顯示了一個完全真實的病毒警報。“

BullGuard的應用程序同時也包含嚴重的IDOR缺陷，這意味著所有用戶都容易受到攻擊者遠程禁用其防病毒保護的攻擊。此外，該應用程序有一個嚴重的跨站點腳本問題（XSS），允許攻擊者插入惡意代碼，因為易受攻擊

IDOR漏洞允許攻擊者遍歷客戶ID并在每臺設備上禁用BullGuard。

“我們能夠攔截并改變禁用BullGuard Mobile防病毒的請求，”研究人員寫道。“我們的測試發(fā)現(xiàn)，當用戶關閉防病毒保護時生成的請求可以被捕獲和更改。通過更改此請求中的用戶ID，可以禁用任何設備上的防病毒保護。似乎沒有訪問控制來確保正確的用戶提出請求。“

此外，Comparitech發(fā)現(xiàn)其中一個負責處理BullGuard網(wǎng)站上新用戶的腳本容易受到XSS攻擊。

他們解釋說：“有問題的腳本不會清理傳遞給它的任何參數(shù)，這使得攻擊者能夠運行惡意代碼。”

攻擊者可以利用此功能在頁面上顯示警報，劫持會話，收集個人數(shù)據(jù)或將網(wǎng)站用作網(wǎng)絡釣魚活動的平臺。

最后，AEGISLAB網(wǎng)絡儀表板的用戶也面臨著嚴重的XSS漏洞，這會給攻擊者插入惡意代碼打開大門，因為該公司沒有鎖定應用程序的儀表板。

“根據(jù)分析，我們發(fā)現(xiàn)了影響my2.aegislab.com域上運行的一個腳本的幾個XSS漏洞。”?“因為傳遞給腳本的參數(shù)都沒有被清理過，所以攻擊者執(zhí)行惡意代碼本來是微不足道的。”

據(jù)Comparitech稱，這三家供應商已經(jīng)更新了他們的應用程序以解決這些漏洞。

病毒檢測和隱私

除了安全問題之外，許多應用程序在基本檢測時都被發(fā)現(xiàn)失敗了。AEGISLAB Antivirus Free;?Antiy AVL Pro防病毒和安全;?Brainiacs防病毒系統(tǒng);?Fotoable超級清潔劑;?MalwareFox反惡意軟件;?NQ Mobile Security＆Antivirus Free;?Tap Technology Antivirus Mobile;?和Zemana Antivirus＆Security未能檢測到測試病毒。

“我們使用的Metasploit有效載荷試圖在沒有模糊處理的情況下在設備上打開反向外殼，”研究人員在周四的?一篇文章中?解釋道。“它是為這種測試而打造的。每個Android防病毒應用都應該能夠檢測并停止嘗試。“

在隱私方面，許多“免費”應用都會展示有針對性的廣告。因此，研究人員還使用Exodus移動隱私數(shù)據(jù)庫中的信息來查找危險權限和廣告跟蹤器。

“在我們的分析中，dfndr是安全性最糟糕的罪犯，”該公司表示。“與應用程序捆綁在一起的廣告追蹤器數(shù)量令人印象深刻。據(jù)我們所知，dfndr將用戶搜索和瀏覽器習慣放在每個廣告交易平臺上進行銷售。“

根據(jù)分析，dfndr還請求訪問精確位置數(shù)據(jù)，訪問攝像頭，讀取和寫入聯(lián)系人，查看地址簿以及獲取設備的IMEI（唯一ID）和電話號碼的權限。

供應商沒有立即回復評論請求。

研究人員表示，所發(fā)現(xiàn)的問題證明了?移動惡意軟件?仍然不是一個高容量的威脅。

“在2018年，卡巴斯基實驗室報告稱它在Android和iOS設備上阻止了1.165億次病毒和惡意軟件感染;?這聽起來像是一個巨大的數(shù)字，但根據(jù)他們的數(shù)字，去年美國只有10％的用戶，加拿大的5％和英國的6％用戶需要受到移動威脅的保護，“分析師解釋說。“因此，有時供應商專注于添加功能以區(qū)分自己，而不是改進他們的代碼庫。他們顯然并不總能做得很好。我們發(fā)現(xiàn)的每個漏洞都是與實際病毒掃描系統(tǒng)相關的。“

原文鏈接：?https://threatpost.com/critical-bug-android-antivirus/146927/