日前,360手机安全研究团队vulpecker team,向补天漏洞响应平台提交了其发现的安卓APP新型通用安全漏洞“寄生兽”,这个漏洞影响市面上数以千万的APP,众多流行APP也包括在内,影响范围包括百度、腾讯、阿里等众多厂商的移动产品。
“寄生兽”APK缓存劫持漏洞的核心有两点,一是软件开发者没有考虑odex的安全问题,另外是没有对zip解压缩时的恶意文件名做检测,所以防护上也应该从这方面做考虑。
由于安卓自身的安全缺陷,使其没有对odex进行强校验,所以会导致黑客对驻留在系统缓存里的odex文件注入恶意代码。临时解决方法就需要软件开发者舍弃部分APP快速启动的特性,每次启动APP时先清空系统缓存里旧的、可能已经被病毒感染的odex文件,然后加载新的、没有被病毒感染的odex文件。
APP在加载基础模块(比如APP皮肤文件等)时,默认所加载的zip文件是安全的,所以没有安全扫描、验证程序,这使得黑客可以藉此感染并潜藏到zip里,当APP进行解压缩操作时,可以趁机进入APP内部,实现感染入侵。
利用该漏洞的攻击者可以直接在用户手机中植入木马,盗取用户的短信照片等个人隐私,盗取银行、支付宝等账号密码等。目前补天已经将相关详情通知给各大安全应急响应中心,并敦请厂商收到详情及时自查,如果自家APP存在相关安全问题,需及时修复。
多名业内人士评价,按照风险评估,该漏洞的经济价值难以估量。
注释:文章部门资料来源于“360安全播报”。
