《小廣和小明的資安大小事 》首次登場,歡迎收看~
你的智慧型手機有設定螢幕鎖嗎?
智慧型手機是最容易失竊或遺失的物品之一。萬一落入心懷不軌的人手中,不只是私藏照片被外人看到,感到囧很大而已。該擔心的是手機中的聯絡人資訊、網路銀行或線上購物等網路服務可能遭到非法使用。 繼續閱讀
分類: Android (安卓)
Android漏洞「Stagefright」透過影片自動播放功能發動一波波攻擊
趨勢科技研究人員發現了更多有關 Android 裝置「Stagefright」(怯場) 漏洞 (CVE-2015-3824) 的更多資訊。
「Stagefright」事實上是一群漏洞的總稱,總共包含七個不同漏洞。其中一個就是 CVE-2015-3824,這是趨勢科技研究團隊與其他資安研究人員分別獨力發現的漏洞之一。這樣的情況在漏洞研究領域其實相當普遍。例如,過去我們也和其他研究人員分別發現了 Microsoft 最近緊急修補的 MS15-078 漏洞 (當然也同時獲得列名)。
此次,趨勢科技的研究團隊又和其他同業分別獨力發現了這個可透過多媒體簡訊 (MMS) 攻擊的漏洞。只不過他們多發現了另外兩種該漏洞的攻擊方式。在與 Google 討論之後,現在我們終於可以公開這些細節。
第一種新的攻擊方式是透過一個放在網站上的惡意影片檔。這種方式幾乎與透過多媒體簡訊 (MMS) 攻擊的方式一樣危險,因為現在很多影片都是自動播放,尤其是行動裝置。此外,該漏洞還能避開 Chrome 瀏覽器關閉自動播放影片的設定。因此,駭客只要能引誘使用者連上網站來觀賞惡意的影片,就能完全掌控使用者的裝置。
另一種新的攻擊方式是利用一個惡意的 App 程式或一個精心設計的 MP4 檔案。一旦使用者下載並開啟了這個檔案,駭客就能完全掌控裝置。 繼續閱讀
【漏洞警訊】影響九成以上Android手機嚴重漏洞,只要一通特製多媒體簡訊(MMS),就可造成手機全面癱瘓!
趨勢科技發現最新Android系統漏洞,駭客可以利用藏有惡意程式的 App 或是網頁,攻擊 Android 行動裝置進行,一旦使用者安裝此 App 或是瀏覽這些遭的網頁,將會開啟一個有害的 MKV 檔案,此檔案將會在裝置開機時自動執行啟動,造成手機無法接電話、收發簡訊或是螢幕全黑導致全面當機 !
此漏洞影響遍及Android 4.3至5.1.1版本,目前全球有超過半數的Android用戶皆使用此版本,影響範圍遍布全球,趨勢科技已將此漏洞通知 Google以期盡快獲得改善處理。在漏洞修補之前
趨勢科技建議Android用戶應審慎防範此最新漏洞攻擊,並為保障您的手機使用安全,建議應對措施如下:
1.如發現手機疑似遭次波攻擊影響而異常無法使用,請切換手機進入安全模式,將惡意App移除 。
2.為有效預防此漏洞攻擊事件,趨勢科技呼籲Android用戶下載趨勢科技的「安全達人」App,可即時掃描正在下載的APP,防止遭受惡意或木馬程式入侵!
資安研究人員發現嚴重的新漏洞,他們聲稱這將會影響 95% 的Android手機。令人更震驚的是根據研究人員所說,這些漏洞可以讓攻擊者無須經過任何互動就完全控制你的手機,只要讓你收到一個特製的多媒體簡訊(MMS)。這些漏洞被稱作「Stagefright」。
與簡訊夾帶的惡意連結相比,這個漏洞的攻擊者只需要知道用戶手機號碼,經由多媒體簡訊(MMS)即可入侵用戶手機,並遠端執行程式碼。攻擊甚至能在受駭者看到訊息前將之刪除,用戶幾乎無感。
但問題是 Android使用者是否能即時取得給他們手機的安全修補程式?
正如我在上個月所討論,就算 Android上有安全修補程式可用,並不代表能安裝所有手機型號和作業系統版本。
而在此基礎上,你能夠做些什麼來保護自己?首先,在手機上停用多媒體簡訊(MMS)。趨勢科技的研究人員已經證明這有助於阻止對這些漏洞的攻擊。因此,在問題修補前,這是很好的一步。如果你沒使用多媒體簡訊(MMS),那麼就應該停用此功能並且保持關閉。我們沒有理由開啟沒在使用的功能。
一般來說,花點時間來停用你不需要或沒在用的功能是好的做法,因為有越來越多安全問題出現,這種預防措施可以直接地阻止問題。正如我們在微軟的Windows上看到,多媒體檔案可能帶來嚴重的安全問題。現在,攻擊者將注意力轉移到Android上的多媒體檔案,我們很有可能會在將來看到其他類似的問題。
可悲的是,這一事件只是再一次地提醒我們Android是遭遇嚴重安全問題的平台。正如我們在2015年第一季的威脅報告中所提到,我們看到Android上的惡意軟體和高風險應用程式在2015年三月跳升到五百萬大關。
這意味著除了要隨時在你的Android設備上執行安全軟體,你還應該要停用沒有用到或不需要的功能和服務,就像在微軟的Windows上一樣。
如何關閉自動擷取多媒體簡訊?
你可以關閉預設簡訊應用程式的多媒體簡訊自動擷取功能,來自我保護。
下面是以三星的Note 3智慧型手機為例,使用版本Android 5.0(電信商是Verizon)。你的預設簡訊應用程式設定可能會有所不同。
- 找出預設簡訊應用程式,點入你 Android手機上的設定應用程式,開啟設定畫面。
Stagefright 漏洞除多媒體簡訊之外還有其他攻擊方式
Stagefright 漏洞除多媒體簡訊之外還有其他攻擊方式
稍早Zimperium zLabs 揭露了一個讓駭客經由簡單的多媒體簡訊就能在裝置上安裝惡意程式的 Android 漏洞。由於其潛在的攻擊風險,這個稱為「Stagefright」(怯場) 的漏洞目前已獲得相當大的關注。例如,Stagefright 可讓駭客發送一個多媒體簡訊到某個手機,就能在使用者不知情的狀況下偷偷安裝一個間諜程式。請參考:影響九成以上 Android手機嚴重漏洞,只要一通特製多媒體簡訊(MMS),就可造成手機全面癱瘓!
從 Android 4.0.1 至 5.1.1 的所有版本都包含此漏洞,等於今日使用中的 Android 裝置有 94.1% 都受到影響。
除了 Zimperium zLabs 之外,趨勢科技也獨力發掘了這項漏洞,以下說明這項漏洞的進一步詳細內容。
漏洞分析
如同我們先前發現的 Android 漏洞,此漏洞同樣出現在媒體伺服器 (mediaserver ) 元件,這是一個負責播放多媒體檔案的元件。
包含此漏洞的 mediaserver 無法正常處理損毀的 MP4 檔案。因此,當 mediaserver 在播放一個損毀的 MP4 檔案時,會造成 Heap 記憶體溢位,導致 Heap 記憶體中的資料遭到覆蓋。駭客可利用這點來執行任意程式碼,進而下載一個惡意應用程式到裝置上。
導致此漏洞的原因是當媒體伺服器在解析已損毀的 MP4 檔案時會發生整數溢位的錯誤,導致緩衝區以外的記憶體內容遭到覆寫。更確切一點,這是因為 mediaserver 在解析含有 tx3g 旗標的資料時所發生的錯誤,這些通常是提供字幕的資料。 繼續閱讀
一鍵就會讓歹徒篡改Android App程式,如何運作?(含影片)
趨勢科技發現 Apache Cordova 應用程式框架存在一個漏洞,攻擊者只要透過點擊網址就能修改應用程式的行為。修改範圍從干擾應用程式使用者到徹底讓應用程式崩潰都有可能。
這個編號為CVE-2015-1835的高危險漏洞影響Apache Cordova 4.0.1以下的所有版本。Apache已經發布一個安全公告確認此漏洞。這代表著大多數基於Cordova的應用程式(佔 Google Play上所有應用程式的5.6%)都可能受此漏洞影響。
該漏洞被存在於Cordova的一個功能內,讓Secondary Configuration Variables(也就是偏好設定)可以由Base Activity的Intent Bundles設定。此功能是Apache在2010年11月所發布程式碼更新(也就是Github的提交)的一部分,Cordova Android也更新為0.9.3。
我們的研究顯示,如果Base Activity沒有被適當的防護且偏好設定設成預設值,攻擊者可以改動偏好設定和和竄改應用程式本身的外觀和行為。
漏洞攻擊成功的先決條件
只要符合兩個條件就能成功地利用此漏洞:
- 應用程式至少有一個元件延伸自Cordova的Base Activity:CordovaActivity或設定Cordova框架(像java)沒有被適當的防護,也就是說可以被應用程式外部存取。
- 至少一個Cordova支援的偏好設定(除了LogLevel的和ErrorUrl)未在設定檔案(xml)中被定義。
它如何運作
要了解該漏洞如何運作,要先來看看應用程式的偏好設定如何設置。 繼續閱讀