首页 >> 手机世界 >> 手机要闻 >> 正文
 
安卓一键授权功能存隐患:防毒软件无法侦测木马
http://www.cww.net.cn   2013年8月6日 09:03    

北京时间8月5日晚间消息,据科技博客PCWorld报道,在拉斯维加斯举办的黑客安全大会(Defcon security conference)上,专家指出,谷歌安卓平台内置的一键谷歌授权功能允许用户在谷歌网页上、无需重复输入密码即可登录各种应用,这使得谷歌账户面临被流氓软件(rogue apps)攻击的风险。

这种功能俗称为“网页登陆(weblogin)”,通过产生一个固定的代理、直接利用在设备上已授权的账户登录谷歌网页上的应用。安全公司绊网(Tripwire)的研究员克雷格·杨(Craig Young)表示,网页登陆能提供更好的用户体验,但其却对用户个人的谷歌账户、以及谷歌应用商城账户造成潜在隐私和安全威胁。杨还展示了黑客如何利用一款流氓软件偷取用户的网页登陆代理、随后将其发回给黑客,使其能够利用这些账户侵入用户的网页浏览器、以获取该用户在谷歌应用商城、电邮、云盘(Drive)、日历、声音(Voice)以及其他谷歌服务上的信息。

杨所展示的这款流氓软件伪装成一款在谷歌Play上发布、可观看谷歌财经的股票查询应用。在安装此款应用时,其将询求用户同意以便获得直接接入设备账户、并通过此账户直接联网。在运行时,这个应用又将再次寻求用户同意、以便能够利用网页登陆功能接入URL——其中包括谷歌财经的网站finance.google.com。这第二个步骤看似并未提供实质信息,故大多数用户都会同意接受。而一旦用户同意,一个网页登陆的代理就会生成,用户便能自动登入谷歌财经的网站。与此同时,这个代理也将通过一个加密的连接被虹吸出来至黑客的服务器。

杨表示,更关键的问题在于,这个网页登陆的代理并不仅仅能登陆谷歌财经,其能够登陆所有谷歌所提供的服务。比如说,其能够让黑客进入用户的谷歌硬盘获取资料、通过电邮发邮件、在日历应用中编辑日程、接入谷歌网页搜索历史、或是存放在谷歌应用商城额敏感性的公司数据。其同时也能够接入用户在谷歌Play上的账户,并远程在用户设备上安全应用、或是在支持谷歌联合登陆(Google Federated Login)的第三方网页上登陆。

如果用户是一个公司谷歌应用商城域名的管理员,这样的攻击将会影响到该公司整蛊谷歌应用商城的运营。黑客将能够重设域名密码、创造或修改全线、邮件列表、甚至是管理者。据杨称,这样的潜在威胁已经于今年2月反馈给了谷歌,其已开始禁止一些黑客攻击后可以运行的权限。比如说,入股偶一个黑客通过网页登陆代理获得授权,其不能使用谷歌外卖(Google Takeout)服务来获得整个谷歌账户的权限,也不能增加新的谷歌应用商城用户——尽管仍旧有些方法使得后一种禁令变得无效。

杨利用其设计的应用程序展示了网页登陆代理能够很快生效,因为其采用了标准安卓API(application programming interface,应用程序界面)来获得这个代理。然而,如果应用程序利用漏洞来获得设备的根权限,其将能够在不经用户确认的情况下直接获得这个代理。研究员表示,这样的流氓软件很可能在谷歌Play里面潜伏一个月——直到有人将其视为恶意软件报告给谷歌,但在此期间,谷歌Play搜索恶意应用的服务Bouncer并不能探测出该流氓软件。即便其能够探测出该软件,Bouncer也不会将其报告为恶意软件,这就给Bouncer的有效性带来了挑战。

在这种流氓软件被报告为恶意软件之后,谷歌Play就会将其移除。如果用户仍旧尝试安装这款软件,安卓本地应用认证功能则会将其视为后门程式而屏蔽。大部分安卓防毒产品无法侦测出杨所展示的这款软件为木马程序,仅有一个私人咨询软件将这个流氓软件报告为能够接入账户的软件。

防毒厂商比特凡德(Bitdefender)的首席安全策略师亚历山德鲁·卡特琳·柯索依(Alexandru Catalin Cosoi)表示:“杨今日的演讲展示了,只要有足智多谋、肯下功夫,你便能轻易的侵入看起来保护的很好的系统。”柯索依认为,唯一能够阻止系统被侵入的方法就是增加攻击的难度,以使得第一层锁被破解之后还有一个新的锁摆在面前。弱点是经常能被找到的,所以持续性的研究毫无疑问能够提升诸如谷歌Bouncer这样的系统,使得黑客要攻击需付的代价更大。

[1]  [2]  
关注通信世界网微信“cww-weixin”,赢TD手机!
来源:凤凰科技   编 辑:于天娇
分享到:
       收藏   打印  论坛   推荐给朋友
关键字搜索:博客  流氓软件  接入设备  Google  服务器  
猜你还喜欢的内容
文章评论查看评论()
昵称:  验证码:
 
相关新闻
即时新闻
通信技术
最新方案
企业黄页
会议活动