安全研究員發現Android新漏洞
責編:mhshi |2015-08-10 13:32:06Android在近段時間的日子并不好過,在過去2周時間里,它至少被發現了2個嚴重漏洞。現在,來自安全公司Check Point的Ohad Bobrov和Avi Bashan又發現了一個新的漏洞—Certifi-gate。獲 悉,這兩位安全研究人員發現移動遠程支持工具(mRSTs)所表現出來的功能跟一款叫做移動遠程訪問木馬(mRATs)的惡意軟件非常相似,最大的一個區 別則是前者并非出于犯罪的目的而開發。mSRTs能夠遠程訪問手機、錄制用戶輸入內容及截圖。mRATs這款惡意軟件顯然需要用戶安裝才會發揮功效,而 mSRTs卻是由OEM預裝。
存有這種現象的OEM有三星、HTC、LG、華為、聯想。
想 要知道這個漏洞如何工作,首先我們得了解mSRTs的工作機理。由于mSRTs極富攻擊性以及擁有強大的功能,所以軟件需要獲得特別權限并由OEM簽署才 行。這樣,這套工具就被分成了兩部分:用戶實際看到的軟件、提供權限的后端插件。當軟件需要獲得特別權限時,它需要連接到插件。即便沒有安裝該類型軟件的 手機也可能包含這一插件。
為了讓軟件向插件發送權限請求,mSRT軟件就此誕生。商 家在Android的Binder上開發了自己的認證工具,然而這些工具并沒有屬于自己的認證流程。于是問題就此產生。研究人員可以通過這一雙重性利用插 件的強大功能獲取訪問設備的權限,在某些情況下,甚至只需要一條簡單的文本信息。
想要解決問題其實也很簡單,但卻會帶來災難性的后果—手機變磚。當下最好的解決方案也許就是為插件和軟件之間的連接開發出一套更好的驗證系統。