Android - 資安趨勢部落格

支付寶 Android 應用程式出現漏洞

2014 年 08 月 15 日2014 年 08 月 15 日趨勢科技 TrendMicro

支付寶是中國主流的第三方支付平台，來自中國最大的網路公司 – 阿里巴巴。趨勢科技最近發現他們的Android應用程式上有兩個漏洞可被攻擊者用來進行網路釣魚（Phishing）攻擊以竊取支付寶認證。

第一個漏洞：輸出活動

Android應用程式有幾個重要的部分，其中之一是活動（Activity）。這有一個重要的屬性，android:exported。如果此屬性設定為「true」時，安裝在同一設備上的每個應用程式都可以調用這個活動（Activity）。開發者應該要小心，讓自己輸出的活動（Activity）不被濫用。

趨勢科技發現支付寶的官方Android應用程式正有此種漏洞。這特定活動（Activity）可被用來增加一個支付寶護照（稱為Alipass）。使用一特別建立Alipass的攻擊者可以用此活動（Activity）來建立一個Alipass登錄顯示。這可以用來將使用者導到網路釣魚（Phishing）網頁或顯示QR碼。在該活動（Activity）啟動前，使用者會被要求輸入支付寶解鎖密碼，這讓使用者相信該登錄畫面確實來自支付寶。

圖1、活動（Activity）所提供的網路釣魚網址

第二個漏洞：惡意的權限

前面我們討論過如何透過權限搶佔來取得權限。在此攻擊中，惡意應用程式在目標應用程式前安裝，取得目標應用程式的客製化權限和能存取該權限所保護的組件。

支付寶應用程式定義了權限com.alipay.mobile.push.permission.PUSHSERVICE來保護組件com.alipay.mobile.push.integration.RecvMsgIntentService。支付寶應用程式利用該組件接收來自支付寶伺服器的郵件。一種訊息是通知使用者應用程式有更新可用。

當一個惡意應用程式被給予PUSHSERVICE權限，攻擊者可以輕易地假造此一訊息，並將其送到RecvMsgIntentService以推送更新通知給使用者。

圖2、攻擊漏洞的測試通知

圖3、要求安裝惡意程式的通知。繼續閱讀

Google Play上前 50 的免費應用程式,近 80％應用程式皆有對應的山寨版本! 恐引發個資外洩、手機中毒及金錢損失

2014 年 08 月 14 日2015 年 12 月 03 日趨勢科技 TrendMicro

【2014年8月14日台北訊】隨著行動裝置使用者數量不斷成長，山寨App數量也以驚人的速度竄升。根據針對 Google Play 商店前 50 大熱門免費 App 調查顯示，高達80% 應用程式皆有對應的假冒版本，其中以小工具、影片及財經類別App擁有假冒版本的比例竟達100%！趨勢科技建議，為避免行動裝置威脅，使用者請務必從信任的來源下載程式，並安裝有信譽的行動防護程式如趨勢科技『安全達人』免費App，以保障自身的行動裝置安全。

趨勢科技研究發現，截至2014年四月，在890,482 個山寨App樣本中，有 59,185 個是越權廣告程式，另有 394,263 個為惡意程式；而在所有山寨App 中，有 50% 以上懷有惡意。目前山寨版App可分為兩大類型，其一為「假 App 」，其中又以假防毒App為最大宗。以「Virus Shield」為例，號稱可即時掃描、保護個資，售價3.99美元，曾在Google Play獲得 4.7 分的評價，上線一周即吸引超過一萬次下載量，但該App遭踢爆不具備任何防護功能，經查證下載量多為殭屍電腦操縱成果，縱使被 Google 下架，卻仍造成數千人受騙並造成金錢損失。

圖 1：Virus Shield 在 Google Play 上的購買畫面。

山寨App另一類型則為「重新包裝的 App 」，仿冒熱門App吸引使用者下載。其中的「木馬化 App」手法，將 App 程式重新包裝從事惡意用途，已逐漸成為網路攻擊常態，其中以熱門遊戲App、金融類App與即時通訊 App最常成為重新包裝的對象。

熱門遊戲App

以2014 第一季最熱門遊戲App之一「Flappy Bird」為例，累計下載次數突破5,000 萬次，該遊戲的突然下架引發網友大量討論，吸引網路犯罪者推出「Flappy Bird」木馬化版本；其中一個木馬化版本會要求使用者允許開發者發送簡訊，導致使用者電信通訊費用帳單因而突然飆高。

圖 2：木馬化 Flappy Bird 發送的高費率簡訊範例。

金融類App

遭木馬化的銀行App常見的被攻擊手法為將知名金融機構的 Google Play 應用程式移除，並換上木馬化版本，竊取受害者的金融相關資訊以協助歹徒發動網路釣魚攻擊，造成使用者重大損失。

圖 3：南韓某銀行 App 的木馬化版本畫面。

即時通訊 App

而即時通訊木馬App最知名的案例則為BlackBerry® Messenger(BBM)，在 BlackBerry 將其程式上架至Google Play 之前，網路上竟然出現一些木馬化的 BBM 版本，利用 Android 版 BBM 即將上市的預期心理，讓其重新包裝的程式獲得 100,000 次下載；然而這些程式會出現越權廣告程式的行為，因此遭 Google Play 下架。

圖 4：假冒的 Android 版 BBM 程式在 Google 商店的下載畫面。

趨勢科技資深技術顧問簡勝財表示：「在山寨App中，有相當大的數量為內藏有惡意程式，不僅容易引發個資外洩，更有可能造成金錢上的損失。建議使用者從信任的平台下載App程式並安裝有信譽的資安防護軟體。趨勢科技『安全達人』免費App擁有自動防護與掃描功能，可協助阻擋用戶下載具有惡意威脅的應用程式，為用戶的手機資安做最全面把關！」

重新包裝的假應用程式和它對行動威脅環境的影響

重新包裝（Repackaged）的應用程式是一種假應用程式，它對行動惡意軟體的氾濫起了關鍵的作用。跟假應用程式一樣，重新包裝應用程式利用社交工程伎倆，顯示出想偽造的正常/官方版本類似的使用者界面（UI）、圖示、套件名稱和應用程式標籤。這樣做是為了誘騙使用者下載假應用程式來產生利潤。

根據研究，Google Play上前50的免費應用程式中有近80％有偽造的版本。這些應用程式包括了商業、多媒體和影片、遊戲等類別。此外，今日有超過一半的假應用程式被標示為「高風險」和「惡意」，因為它會對使用者造成危害。

圖一：在Google Play上有偽造版本和沒有偽造版本的免費應用程式

繼續閱讀

Evernote 出現Android應用程式漏洞

2014 年 08 月 04 日2014 年 08 月 27 日趨勢科技 TrendMicro

趨勢科技之前討論過一個可能導致使用者資料被截取或用來發動攻擊的Android漏洞。我們發現相當普及的Evernote Android應用程式包含了此漏洞。趨勢科技披露了細節給Evernote，他們也採取了行動，釋出他們Android應用程式的更新版本。Evernote在Evernote for Android 5.8.5中增加額外的控制來保護使用者資料。使用版本低於5.8.5的Android使用者應該要更新到最新版本。

內容提供者（Content Provider）漏洞

被修補的漏洞跟儲存應用程式資料的Android元件有關。該元件有一屬性（android:exported）可以讓其他應用程式對受影響應用程式讀取或寫入特定的資料。

之前版本的Evernote定義了兩個權限來保護用來儲存幾乎所有使用者資料的內容提供者。然而，這兩個權限的保護層級被設為「正常」，意味著設備上的其他應用程式也可以被授予這兩個權限。

圖1、Evernote內容樣本

圖2、利用內容提供者漏洞所顯示的內容

網路犯罪分子可能會建立惡意應用程式用來截取儲存在Evernote應用程式的資料。對於使用Evernote儲存敏感資料（使用者帳號和密碼）的使用者來說，這可能會導致資料被竊或身份詐騙等後果。

外露、未加密的資料

除了上面所介紹的漏洞外，我們也發現另一漏洞可能會讓惡意應用程式看到儲存記事的受影響設備上的所有記事。

Evernote應用程式將所有使用者的記事儲存在外部儲存裝置的/sdcard/Android/data/con.evernote/files/資料夾內。不幸的是，儲存在該資料夾的檔案並沒有加密，而且可以被其他應用程式讀取。

圖3、記事樣本

圖4、利用SD卡漏洞來存取記事

受影響設備的Android作業系統版本也會影響應用程式所能存取的數量。在Android 4.3及更早版本中，應用程式甚至不需要特殊權限就可以存取該資料夾。在Android 4.4及更高版本中，需要READ_EXTERNAL_STORAGE權限。不過該權限對於一般應用程式來說很常見，所以惡意應用程式請求該權限不會引起懷疑。

惡意使用者可以寫一段簡單的程式碼用來讀/寫上述應用程式所儲存的檔案，然後注入具有READ_EXTERNAL_STORAGE權限的重新包裝應用程式。然後，攻擊者可以利用這重新包裝的應用程式來誘騙使用者給予所要的權限。

我們揭露此一資訊好讓可能同樣不正確使用外部儲存裝置的開發者可以修改他們的應用程式。開發者也要將他們的權限設定在簽章層級以保護其重要元件。我們也建議開發者對於應用程式所建立、處理和傳輸的任何內容都進行加密。可以的話，任何敏感資料都不該儲存在外部儲存裝置。

趨勢科技已經通知Evernote此一新漏洞。我們目前還沒有看到針對此漏洞的攻擊出現。

@原文出處：Evernote Patches Vulnerability in Android App作者：Weichao Sun（行動威脅分析師）

手機病毒滿 10 年,高風險行動 app 已突破二百萬大關

2014 年 07 月 15 日2016 年 01 月 25 日趨勢科技 TrendMicro

行動裝置威脅因失竊資料在地下市場需求增加突破二百萬大關!!

行動裝置惡意程式與高風險的 App 程式數量在第一季突破二百萬大關，從第一個行動裝置概念驗證 (PoC) 惡意程式至今正好滿十周年。

2014 Q1出現大量的資料竊取程式，這很可能是因為地下市場對行動裝置失竊資料的需求增加所致。更糟的是，現在犯罪集團在地下市場上提供了更容易重新包裝 App 程式的方法，這或許說明了為何光本季就發現了大約 647,000 個新的行動裝置惡意程式與高風險的 App 程式。

今年前三個月除了行動裝置惡意程式數量成長之外，我們也發現了各種全新的手法。它們使用 Tor 洋蔥網路來確保幕後操縱 (C&C) 伺服器通訊的隱匿性，此外，也出現了專門從事數位貨幣採礦的行動裝置威脅。另外還出現一個名為 DENDROID 的全新遠端存取工具，它會擷取裝置的螢幕畫面、錄下影像及聲音，並將這些資料拿到地下市場賣給最高出價者。

這一切證明了什麼？那就是，隨著越來越多使用者「邁向行動化」，行動威脅也將越來越多。
「然而，隨著行動裝置數量近年來倍數成長，行動裝置惡意程式成長速度超越電腦威脅也就不令人訝異。原本用在電腦使用者身上的技術，如 Tor 和數位貨幣採礦，如今也都成為對付行動裝置使用者的手法。」

—Kenny Ye (行動裝置威脅研究員) 繼續閱讀

Android 並非唯一受害者， iOS 也遭遇漏洞攻擊

2014 年 07 月 11 日2016 年 01 月 25 日趨勢科技 TrendMicro

惡意 App 程式和網站威脅在經過多年的急速成長之後，行動裝置威脅在2014年第一季終於開始出現成熟的跡象。除了原本的行動裝置威脅之外，Android™ 平台還出現了可能讓裝置「變成磚塊」(完全無法使用) 的軟體漏洞。

最近，一些軟體漏洞相關的事件證明，即使是自訂的 App 程式權限也可能被駭客躲過。一個最新發現的 Android 平台漏洞可能導致裝置陷入永無止境的重新開機循環，變成完全無法使用的「磚塊」。

不過，Android 並非唯一的受害者，第一季 iOS 使用者也同樣遭遇到所謂的「goto fail」漏洞。此漏洞一旦被攻擊成功，iOS 系統上用來將網際網路連線加密以防止網站連線遭到竊聽或挾持的 Secure Sockets Layer (SSL) 功能將因而失效。結果呢？任何使用者透過公共 Wi-Fi 網路發送、張貼的資料或任何線上活動，都可能被歹徒看光光，甚至遭到惡意篡改。

「越來越多的網路犯罪者開始轉移目標，紛紛搭上行動裝置的熱潮與普及列車，更何況行動裝置不像電腦那樣受到嚴密防護。未來我們勢必看到更多行動裝置平台的漏洞，尤其是 Android，因為該平台擁有廣大的使用族群。」