手機病毒/手機平板行動安全 - 資安趨勢部落格

手機購物竟”心在淌血”!!Heartbleed臭蟲, 影響銀行,線上支付,網路購物等手機/行動應用程式

2014 年 04 月 14 日2014 年 04 月 17 日趨勢科技 TrendMicro

趨勢科技掃描了大約390,000個來自Google Play的應用程式，發現約有1,300個會連到有漏洞的伺服器。其中有15個銀行相關應用程式，39個和線上支付有關，10個和網路購物有關。

前不久，OpenSSL 加密軟體程式庫的 Heartbeat (心跳) 延伸功能被發現含有一個漏洞，此漏洞被戲稱為 Heartbleed (心在淌血) 臭蟲，它存在於所有內含 Heartbeat 延伸功能的 OpenSSL 軟體。當伺服器遭此漏洞攻擊時，駭客就能讀取電腦記憶體當中的資料 (每次最多 64KB)，而且完全不留任何痕跡。

Heartbleed臭蟲的嚴重性已經讓無數的網站和伺服器急著去解決這問題。而且這是有理由的，一個由Github所進行的測試顯示，在前10,000名網站（根據Alexa排名）中，有600個受此弱點影響。在掃描的時候，受影響的網站包括了雅虎、Flickr、OKCupid、Rolling Stone和Ars Technica。

延伸此一安全漏洞的涵蓋率帶出另一個問題，「行動設備也會受到影響嗎？」簡單的說：是的。

行動應用程式，不管我們喜不喜歡，也一樣地容易受到網站的Heartbleed臭蟲影響。因為應用程式通常會連到伺服器和網頁服務來完成各項功能。正如我們之前的文章所提到，有相當大數量的網域受到此漏洞影響。

假如你只是要進行應用程式內購買的動作，所以你需要輸入信用卡資訊。你做完之後，行動應用程式就會為你完成交易。當你拿到了你要的遊戲，你的信用卡資料也會儲存在行動應用程式所進行交易的伺服器上，並可能在那待上一段長度不等的時間。因此，網路犯罪分子可以利用Heartbleed漏洞來攻擊該伺服器以取得資料（如信用卡號碼）。就是這麼地簡單。

那如果應用程式不提供應用程式內購買呢？他們就安全於此漏洞嗎？也不是，只要它會連到網路伺服器，就還是會被此弱點影響，即便你的信用卡不會被影響到。例如，你的應用程式可能會要求你在社群網路上幫他們按「讚」或「關注」他們以拿到免費獎勵。

假設你決定這樣做，並且按下「確定」。你的應用程式有可能會自己去打開網頁，透過自己的應用程式內瀏覽器讓你去登入社群網路。我們並不是說你所連上的社群網路一定會被Heartbleed漏洞影響，但可能性是存在的，因此也就會有風險。繼續閱讀

全球下載破萬次的資安付費App 竟毫無功能?!付費防毒程式「Virus Shield」假防毒軟體,已遭Google Play下架 ,用戶切勿上當

2014 年 04 月 10 日2014 年 04 月 30 日趨勢科技 TrendMicro

排名第一『安全達人』免費App 替消費者把關行動App 安全

【台北訊】近期排名迅速竄升的付費防毒App「Virus Shield」，號稱可即時掃描、保護個資，售價3.99美元，上線短短一周即吸引全球下載次數超過一萬次，但該App遭踢爆不具備任何防護功能，所有消費者花了近四萬元美金，卻下載了毫無作用的App，近期已遭Google下架處理，並也被趨勢科技『安全達人』App偵測並防堵！『安全達人』免費App是目前排名第一的免費應用程式，趨勢科技呼籲用戶，除了要安裝有信譽的行動防護程式外，也要在下載前多留意使用者的意見回饋，以免白花冤枉錢、卻沒得到任何保障。

揭穿此App騙局的《Android Police》網站指出，消費者一旦花費3.99美元，下載「Virus Shield」並啟動之後，螢幕畫面上僅呈現一個簡單的圖案，按下圖案後，該畫面從打「X」變成打「V」符號，讓使用者誤以為手機已經完成了掃描工作，但該App實際上卻沒有啟動任何防護運作。《Android Police》網站並指出，此App開發者是詐欺的累犯，曾在某線上論壇中詐騙線上遊戲寶物而被取消會員資格，目前此事件已受到Google以及全球開發人員的關注。

圖說：問題程式「Virus Shield」的執行畫面，誤導消費者以為已經完成掃描

趨勢科技資深技術顧問簡勝財表示：「雖然『Virus Shield』已從Google Play下架，但仍有很高機會在其他下載平台或網站流竄，用戶務必小心為自己把關。事實上，趨勢科技『安全達人』免費App已及早且有效地偵測到「Virus Shield」新型詐騙，證明無論用戶在Google Play選購應用程式，甚至是從外部網站下載來源不明的App時，『安全達人』App都會啟動自動防護與掃描功能，阻擋用戶下載具有惡意威脅的應用程式，為用戶的手機資安做最全面把關！」

圖說：趨勢科技「安全達人」App，在用戶下載問題程式「Virus Shield」時，就立即偵測到問題並跳出警示

圖說：若用戶執行問題程式「Virus Shield」，趨勢科技「安全達人」會跳出警示提醒用戶

簡勝財更指出，「安全達人」免費App是目前[1]Google Play排名第一的行動防護應用程式，不但在工具類「最新熱門免費項目」位居第一，在「最新熱門免費」排行也保持領先，顯示用戶對於有信譽的行動安全軟體有強烈的需求！尤其「安全達人」更提供經趨勢科技資安驗證、來自台灣知名遊戲業者的安全遊戲App，更能滿足手遊用戶「玩得安全、玩得快樂」的渴望。

圖說：趨勢科技「安全達人」在Google Play工具類「最新熱門免費項目」排行榜位居第一

繼續閱讀

新 Android 臭蟲讓手機變磚!!

2014 年 04 月 10 日2014 年 04 月 09 日趨勢科技 TrendMicro

建議不要從第三方應用程式商店下載軟體

趨勢科技最近讀到一個Android系統崩潰漏洞會影響Google的Bouncer服務。而令人擔憂地，這個漏洞也會影響到Android OS版本4.0及以上的行動設備。我們相信網路犯罪份子可能會利用這個漏洞來對Android智慧型手機和平板電腦進行實質性的損害。設備會進入無限重新啟動的迴圈。這可能會導致設備無法使用，其中一些可能就會「變磚」。

他們如何做到？

我們的分析顯示，第一次崩潰是因為視窗管理程式的記憶體損毀，這是應用程式用來控制給定螢幕位置和視窗外觀的界面。大量資料被放到Activity標籤，這是視窗都會有的視窗標題。

如果網路犯罪分子製造一個應用程式，內含具備巨大標籤的隱藏Activity，使用者根本不知道它會觸發這個漏洞。網路犯罪分子可以進一步地掩飾這漏洞，設定計時器來觸發會停止當前應用程式活動和打開隱藏活動的事件。當定時事件被觸發就會執行這漏洞，造成系統服務崩潰。這會停止行動設備的所有功能，並且該系統會被強制重新啟動。

更糟的情況是，當惡意軟體被設計成在設備啟動時自動執行。這樣會讓設備陷入無限重啟循環，無法再被使用。此時只有透過boot loader回復修補程序才可以解決，這代表所有儲存在設備內的資料（聯絡人、照片、檔案等）都會被刪除。

發現會崩潰一連串服務的臭蟲。

我們進一步的研究發現，除了WindowManager以外，PackageManager和ActivityManager也容易出現類似的崩潰漏洞。關鍵區別是當使用者設備安裝惡意漏洞攻擊應用程式就會馬上崩潰。請注意，這樣的漏洞攻擊應用程式並不需要任何特殊權限。

在AndroidManifest.xml檔案中，應用程式的標籤名稱可以在元素的「andoid:label」屬性設定，它可以是原始字串，而不只是字串資源的引用。在一般情況下，在AndroidManifest.xml聲明超長原始字串標籤的應用程式會無法安裝，因為Android Blender的交易緩衝區大小限制。但透過了ADB（Android Debug Bridge）這被許多第三方市場客戶端所使用的介面，就可以安裝這樣的應用程式，導致PackageManager服務立刻崩潰。繼續閱讀

Android客製化權限會洩漏使用者資料,上萬應用程式受此弱點影響

2014 年 04 月 08 日2014 年 04 月 07 日趨勢科技 TrendMicro

Anrdoid存取控制政策的關鍵部分是權限。要存取Android設備上的資源，應用程式需要請求並被授予特定權限。但是，除了作業系統所指定的權限外，應用程式可以定義自己的客製化權限。一般來說，這樣做是為了保護應用程式本身的功能或資料。

像這樣的客製化權限通常被定義在「Signature」或「signatureOrSystem」保護層級。這在Android開放原始碼專案（AOSP）文件內的定義為：

signature

當有應用程式要求此權限時，系統只會給於和宣告該權限的應用程式使用相同憑證的應用程式。如果憑證符合，系統會自動給予權限而不通知使用者或詢問使用者是否批准。

signatureOrSystem

當有應用程式要求此權限時，系統只會給於存在Android系統影像檔或是和宣告該權限的應用程式使用相同憑證的應用程式。請避免使用此選項，因為Signature保護層級應該足以滿足大多數需求，而且無論應用程式工作在哪裡都可以正常作用。signatureOrSystem權限只用在某些特殊情況，當有多個廠商內建應用程式到系統影像檔中，而且需要特別地去分享特定功能，因為它們是被一起建置的。

這讓Android開發者認為只有系統應用程式或擁有相同簽章的應用程式（可能是由同一個開發者所製造）才能夠存取這些權限。所以就可能不會加上額外的存取控制。但事實並非如此。

Android作業系統只用名稱來追蹤這些客製化權限。一旦權限被定義，其他的應用程式就無法進行修改。假設一個知名的應用程式「A」中用signature保護層級來定義權限permission-A用來保護自己的資料。但讓我們假設在安裝「A」之前，使用者就已經安裝了惡意應用程式B。如果B是設計來從應用程式「A」中竊取資料，它可以在「A」之前就先建立permission-A，然後應用程式「B」就有permission-A的權限。一旦應用程式「A」被安裝，「B」就擁有了能夠讀取應用程式「A」被保護資料的權限。

趨勢科技發現約有10,000個應用程式可能會受到此弱點的影響。我們不會透露有哪些應用程式有此弱點，但是趨勢科技快速檢查了有弱點應用程式後，包括了：

一個熱門的網路商店會洩露其網路瀏覽歷史記錄。
一個熱門的聊天應用程式會洩露其使用者的應用程式內購買。
一個熱門的社群網路可以透過其應用程式插入假訊息。

在存取他們的活動/接受器/服務/供應商時，開發者不應該完全依賴保護層級。作業系統有提供幾個像getCallingUid和getCallingPackage的功能，可以用來識別做出上述要求的應用程式，並且要加上必須的存取控制。

趨勢科技已經通知Google的Android安全小組這個問題。

@原文出處：Android Custom Permissions Leak User Data作者：Weichao Sun（行動威脅分析師）額外分析來自Veo Zhang

行動惡意程式App數量，突破 200萬！半年內數字翻倍

2014 年 04 月 01 日2014 年 04 月 02 日趨勢科技 TrendMicro

趨勢科技提醒用戶小心篩選App 並安裝有信譽的行動防護程式

【2014年4月1日台北訊】隨著行動裝置普及化，相關的惡意程式App也以驚人的速度不斷成長。全球雲端資訊安全領導廠商趨勢科技今日公布，就在惡意及高風險的行動裝置 App 程式突破100萬關卡後的半年內，該數字又翻了一倍、突破200萬支的大關！有鑑於此，趨勢科技再度呼籲行動裝置用戶，務必仔細篩選 App 程式、避免開啟不明的網址、刪除可疑的訊息，以及安裝有信譽的行動防護程式等，以保障自己在行動裝置上安全。需要行動裝置防護程式的民眾，可至Google Play下載免費「安全達人」App程式，除了可防護行動裝置的隱私與個資、防止釣魚、尋找遺失手機之外，還可找到經過資安認證的多元化遊戲，一舉數得。

趨勢科技資深技術顧問簡勝財表示：「光是 2013 一整年，我們就發現了100萬個新的Android 威脅，可以預見未來網路犯罪者勢必繼續覬覦行動裝置。而在行動裝置惡意程式剛屆滿十週年的現在，就已經突破200萬支的大關，可以預見未來行動裝置的防護重要性越來越高，用戶務必開始提高警覺、安裝行動防護程式以保障個資。」

圖 1：惡意及高風險的 App 程式數量，已突破二百萬關卡繼續閱讀