日前,谷歌批量修復了多個Android漏洞。由360發現的多個漏洞已被谷歌確認并修復,同時谷歌也在公告中再度向360致謝。受到谷歌致謝的Android5.0屏幕錄制漏洞由于存在極大安全威脅,360近日也發布了詳細報告解析漏洞,避免漏洞被利用肆虐Android用戶。
360再受谷歌致謝 漏洞發現并非偶然
360互聯網安全中心日前發布的《Android5.0屏幕錄制漏洞(CVE-2015-3878)威脅預警》提到,低技術門檻的漏洞利用或木馬制作隱藏極大安全威脅,當這種安全威脅遇上低安全意識的手機用戶時,則可能導致Android平臺惡意軟件大規模爆發。360互聯網安全中心此次向谷歌提交的漏洞完全能夠激發以上兩個條件,隨時可能大規模爆發。
《報告》作者李平一直認為,Android平臺上能大規模感染用戶的手機病毒,并不是那些技術門檻很高、利用了很多核心技術的系統漏洞的病毒。
2014年肆虐Android平臺的“XX神器”、大規模感染用戶的“FakeTaobao木馬家族”、近來感染眾多用戶的“流量僵尸木馬”,都是此類低技術門檻的手機病毒。李平非常擅長分析病毒特點,并尋根溯源,通過共性發現漏洞,從而控制威脅的蔓延。根據這些病毒特點,在使用Android5.0的屏幕錄制功能時,李平非常敏感的發現了這個很容易被利用的UI漏洞。
利用漏洞可隨意盜取用戶網銀
李平介紹,利用該漏洞,攻擊者只需給惡意程序制造一段讀起來很“合理的”應用程序名,就可以將Android5.0錄屏功能的提示框變成一個UI陷阱,使其失去原有的“錄屏授權”提示功能,惡意程序能夠在用戶不知情的情況下錄制用戶手機屏幕。
圖1:360專家分析漏洞原理
由此演變,這一漏洞對用戶個人隱私及財產安全構成極大威脅。《報告》中,360團隊針對某銀行客戶端(Android版)編寫了一款漏洞測試樣本,通過樣本演示了如何利用該漏洞。一旦APP名稱被無限加長,手機用戶就極難發現自己點擊同意的是錄制屏幕,惡意軟件作惡方式極其隱蔽。
圖2:360專家測試 漏洞如何被利用
如用戶在啟動銀行客戶端后,該程序會發動錄制屏幕請求,而通過事先代碼編寫,提示框會顯示大段仿冒的銀行風險提示。實際上,真實的提示消息完全被大量的“仿冒”提示掩蓋,“將開始截取您的屏幕上顯示的所有內容”這種風險提示則很難被發現。
如此,黑客便能從后臺錄制用戶的一切操作,這樣能夠成功竊取用戶在登錄該銀行客戶端時輸入的銀行賬號及密碼。不僅如此,《報告》中也分析指出,利用此漏洞的木馬還可以輕而易舉的獲取用戶QQ、微信等任何想要監控的軟件用戶名及密碼,且能夠掌握任何手機界面的操作情況。
圖3:360《報告》提示防范建議 避免Android用戶受威脅
99.9%的Android軟件受漏洞影響
360《報告》評估后表明,對于該漏洞,約99.9%的Android軟件都沒有抵御潛在威脅的能力;國內的234款手機銀行、信用卡客戶端軟件中,96.2%的軟件遇到此類威脅時無法保證用戶賬戶信息安全性;檢測發現,國內主流社交軟件無一能夠抵抗這種潛在威脅;16款主流電商及支付類應用均不能抵抗其威脅。
圖4:360專家評估漏洞風險
《報告》中還提出了防范建議和漏洞補丁說明,以免漏洞被利用致Android用戶受到威脅。此次由360互聯網安全中心發現的漏洞,已被谷歌確認為中危漏洞并進行了修復。為此,谷歌在公告中也再度向360致謝。
除了谷歌之外,360因發現并協助修復漏洞還獲得來了微軟、蘋果、Adobe等巨頭的致謝。其中,8月14日,360安全團隊向蘋果提交的兩個漏洞也被確認并修復,并獲得蘋果公開致謝;自2009年以來,360已累計86次獲微軟安全公告致謝,在全球安全軟件廠商中排名首位。
《Android5.0屏幕錄制漏洞(CVE-2015-3878)威脅預警》地址:http://zt.360.cn/1101061855.php?dtid=1101061451&did=1101452330
(新聞稿 2015-10-19)