作者:趨勢科技技術長 Raimund Genes
一年的這個時候又到來了 – 許多人都會在每年的最後一季去購買新手機,會去看看Apple、三星及各大手機廠商最近所發表的新款式,並決定應該選擇哪一支來續約。
我相信有很多人都會帶著全新的 iPhone 或 Android 回家,將它設定成自己所想要的模式。不過我們也該花點時間記住一件事,因為這些設備對我們來說非常的私人,所以智慧型手機被駭所造成的影響可能會非常嚴重。
想像一下,如果駭客偷走你的個人資料會發生什麼事。或許我們不用想像,因為這在2014年確實發生在許多人身上。對於一些人,這造成些尷尬的後果,但對某些人來說後果可能遠不止於此。 繼續閱讀
手機用戶有80%的時間花在遊戲、新聞、生產力、工具程式、社交網路及其他各種應用程式上。
安全和高風險應用程式
到2014年10月為止,趨勢科技已經看到1100萬個樣本,這些樣本裡,有64%被視為安全,而有23%被視為高風險或廣告軟體。這類型應用程式被授與的權限可能會導致有害的後果。在我們發現的所有惡意應用程式中,有13%是完全惡意或歸類為惡意軟體。這類型的應用程式通常來自第三方應用程式商店,或簡單地說,非來自Google Play商店。
圖1、到2014年10月為止累積的不重複惡意軟體和高風險/廣告軟體應用程式樣本
在10月,我們看到超過532,000個新Android樣本。有幾乎三分之一(29%)是惡意軟體,同時有三分之一(30%)是廣告軟體。不到一半(41%)被檢查的應用程式被判定為安全。
圖2、2014年10月所偵測到的不重複惡意軟體和高風險/廣告軟體應用程式
這些威脅屬於我們所知的七種惡意應用程式類型,如下所示:
圖3、Android惡意軟體類型 繼續閱讀
Android應用程式需要權限才能正常運作。不過網路犯罪分子會將其用在個人私利上。來看看最常被要求的權限以及它們會如何被濫用。
圖片來源:Evan-Amos / Wikimedia Commons / Public Domain這代表什麼:允許應用程式透過網路定位(像是基地台或無線網路)來取得大概位置。應用程式開發人員可以用它從基於位置的廣告獲利。
它如何被濫用:惡意應用程式用它來發動基於位置的攻擊或惡意軟體。比方說,網路犯罪分子可以將俄羅斯的行動使用者導到惡意俄文網站。
需要此權限的應用程式:位置相關應用程式,打卡應用程式
圖片來源:George Hodan的「在地圖上的地方」
這代表什麼:允許應用程式透過全球定位系統(GPS)和其他定位來源(如基地台和無線網路)來取得你的確切位置。跟網路定位一樣,GPS定位也可以用來讓應用程式開發人員從基於位置的廣告獲利。
它如何被濫用:惡意應用程式用它來載入基於位置的攻擊或惡意軟體。
需要此權限的應用程式:位置相關應用程式,打卡應用程式,社群媒體應用程式
這代表什麼:允許應用程式檢查是否有手機網路連線(也包括無線網路)。應用程式需要網路連線來下載更新或連接伺服器及網站。
它如何被濫用:惡意應用程式用它來找出可用的網路連線,這樣才能夠執行其他動作,像下載更多惡意軟體或發送簡訊。惡意應用程式可以在你不知情下切換這些連線,吸乾你的電池或增加你的數據收費。
需要此權限的應用程式:位置相關應用程式,打卡應用程式,社群媒體應用程式
圖片來源:Jason Wilson的「無線網路符號」,,透過創用CC署名2.0 通用條款使用這代表什麼:允許應用程式存取無線網路資訊,例如已設定的網路列表和目前使用中的無線網路 。
它如何被濫用:網路犯罪分子利用設備漏洞來竊取無線上網密碼和駭入你所使用的網路。
需要此權限的應用程式:瀏覽器應用程式、通訊程式
圖片來源:Jason Howie的「社群媒體應用程式」,透過創用CC署名2.0 通用條款使用這代表什麼:允許應用程式確認目前或最近執行的工作和每個工作所執行的程序。
它如何被濫用:網路犯罪分子利用這從其他執行中的應用程式竊取資訊。還可以檢查並「殺掉」安全應用程式。
需要此權限的應用程式:工作清理應用程式,電池監測應用程式,安全應用程式
圖片來源:Blaise Alleyne的「網路開放」,透過創用CC署名2.0 通用條款使用
這代表什麼:允許應用程式連接網路。
它如何被濫用:惡意應用程式使用網路來連到它們的指揮中心或下載更新和更多惡意軟體。
這代表什麼:允許應用程式知道你是否正在接聽電話或連接網路。也讓它們存取像是你的電話號碼、國際行動裝置標識(IMEI)號碼和其他識別資訊。應用程式通常用此來識別使用者而無需更多敏感資訊。 繼續閱讀
安全套接層協議(SSL)和它的後繼者傳輸層安全協議(TLS)都是設計來提供客戶端和伺服器之間有著安全加密的連線。為了進一步地進行身份驗證和加密,伺服器必須提供憑證。通過這過程,伺服器可以直接有效地證明其身份。
使用 SSL 連線,雙方可以確保通訊的有效性和安全性。這對某些服務來說非常有用,像是網路銀行、電子郵件、社群網路,它們需要建立安全通道來交換客戶端和伺服器間的資訊。
不幸的是,這項技術也成為了兩面刃。Android 惡意軟體現在會利用 SSL 來隱藏自身行為並且逃避偵測。
使用 SSL 伺服器
SSL伺服器已經成為Android惡意軟體的目標。惡意軟體可以使用下列三種之一的伺服器。
1.不知名自行管理伺服器 – 要使用不知名的自行管理SSL伺服器,惡意軟體作者需要建立自己的TrustManager(可以決定接受憑證)和 SSLSocket讓其惡意應用程式信任該伺服器憑證。建立自己的TrustManager和SSLSocker是必要的,因為惡意軟體伺服器憑證通常並沒有預設包含在Android作業系統中。這樣做通常需要更多的精力:當伺服器或網域變更時(通常是為了應對防毒偵測),SSL連線在驗證過程中可能會失敗。惡意軟體作者必須更新憑證和客戶端應用程式以重新建立連線。此外,使用自行簽發的憑證和固定的伺服器會被資安公司輕易而快速地偵測。所以只有少數惡意軟體利用這種方式也就並不令人驚訝。 繼續閱讀
Bluebox Labs的安全研究人員最近發現一個可以讓惡意應用程式冒用合法程式的漏洞。這漏洞被稱為「FakeID」,跟檢查憑證簽章以證明應用程式合法性有關。這漏洞會被高度關注的原因是所有從版本2.1(「Éclair」)到4.4(「KitKat」)的Android設備都會受到此漏洞影響。
憑證和簽章
Android應用程式在發佈和推出安裝前必須先「簽章」過。簽章應用程式會使用憑證。像HTTP/SSL憑證模式,應用程式憑證是由受信任的憑證機構所發出。該憑證被用來確保應用程式發佈後的完整性,以避免被攻擊者篡改。這些憑證被應用程式用來作為其「包裝簽章」。這些簽章被Android用來識別應用程式。
Android如何去分配這些簽章?對於安裝在設備上的每一個應用程式,會建立一個稱為PackageInfo的類別到應用程式的配置檔案內。PackageInfo包含一個名為「signatures」的屬性,它對應用程式扮演了一個重要的角色。有了相同的簽章,應用程式可以作為另一應用程式的更新程式,或者兩個應用程式可以相互分享它們的資料(如某種形式的共享機制)。在某些特殊情況下,Android可以決定是否要透過比較應用程式有無相同的簽章在其「signatures」屬性以給予應用程式權限,因為簽章寫死在Android的原始碼中。
Bluebox Labs舉出兩個可行的例子。一個是支付相關的應用程式被允許存取行動設備的NFC SE硬體,因為有簽章指定在設備的NFC相關檔案中。另一個是應用程式被允許作為其他應用程式的webview外掛程式(就像是Adobe Flash Plugin),因為應用程式有Adobe系統的簽章。
憑證鏈的漏洞
一旦應用程式被安裝到設備內,Android平台透過利用應用程式的憑證檔案來建立憑證鏈以建立它的PackageInfo簽章。然而,因為這個漏洞,Android不會驗證憑證鏈的真實性。只會依靠簽章者憑證的「Subject」和被簽章憑證的「發行者」間的對應關係。不幸的是,這兩個是明碼字串類型,可以輕易地被惡意人士偽造。
利用該漏洞
因為該漏洞跟應用程式的「真實性」有關,網路犯罪份子可以建立惡意應用程式來存取敏感資料而不引起任何懷疑。舉例來說,NFC的相關支付通常會使用Google電子錢包。如果一個惡意應用程式被授予NFC權限,它可以竊取使用者Google電子錢包的帳號資訊,更換指定的支付帳號並竊取使用者的金錢。
惡意應用程式還可以利用Webkit外掛程式的權力讓它具備關聯的權限和所需的簽章。該應用程式會在每次受害者使用瀏覽器應用程式瀏覽網站或使用其他需要webview元件的應用程式時,作為Webkit外掛程式程序來自動執行。由於惡意軟體是作為瀏覽器(或使用webview的其他應用程式)的元件程序運行,該惡意軟體幾乎可以完全控制應用程式的資料。所有相關的資料,如使用者認證資訊,銀行帳戶和電子郵件詳細內容都可以被存取、外洩或篡改。
大多數Android使用者都受到影響
正如我們前面所說,所有沒有OEM廠商提供修補程式的Android設備都會受到此漏洞影響。從Google目前的資料顯示,受影響平台約佔全部Android設備的82%。這受影響Android使用者的巨大數量也呼應了去年發現master key漏洞時的狀況。
Google已經發表了對此漏洞的修復。然而,Android生態系的碎片化意味著並非所有使用者都能讓其設備得到防護。當有更新可用時,我們建議使用者要立即升級他們的設備。
Google發表聲明指出,他們已經「掃描所有提交到Google Play的應用程式,以及Google所能審查的Google Play以外應用程式,並…沒有看到任何證據顯示有對此漏洞的攻擊。」
為了保護我們的使用者,我們會繼續注意可能會利用此漏洞的威脅和攻擊。利用此漏洞的應用程式會被偵測為ANDROIDOS_FAKEID.A。
@原文出處:The Dangers of the Android FakeID Vulnerability作者:Simon Huang(行動安全工程師)
