Stagefright漏洞爆出沒多久，Android平臺又爆出一重大漏洞，影響55%的手機(jī)。IBM的X-Force應(yīng)用安全研究團(tuán)隊近日發(fā)現(xiàn)了這一漏洞。攻擊者可以利用這個任意代碼執(zhí)行漏洞給一款沒有權(quán)限的惡意應(yīng)用授權(quán)，提升其權(quán)限，黑客就可以借此操控設(shè)備。除了這個Android漏洞，研究人員還發(fā)現(xiàn)了幾個存在漏洞的第三方Android SDK，可以幫助攻擊者操控APP。

我們最近在Hacking Team泄露的文件中看到過類似的攻擊技巧。該種攻擊使用一款名為BeNews的新聞APP，其實是偽造的APP，應(yīng)用請求的權(quán)限看起來都沒有惡意，以此躲過了Google Play的過濾機(jī)制。一旦用戶運行APP，它就會下載另外一些代碼，還會使用Futex漏洞(CVE-2014-3153)exp提升權(quán)限。這次研究人員發(fā)現(xiàn)的攻擊類型也和這個很類似，即使是安全意識很強(qiáng)的用戶也難以防范。

漏洞介紹

這個Android序列化漏洞(CVE-2015-3825)存在于Android平臺本身，影響的版本包括4.3至5.1，也就是Jelly Bean、KitKat、棒棒糖和Android M預(yù)覽版1，波及55%的Android設(shè)備。

研究人員的論文中介紹了一個可靠的PoC，能夠演示攻擊的可行性。這個PoC能夠攻擊高權(quán)限的system_server進(jìn)程，這樣就能夠?qū)?quán)限提升至系統(tǒng)用戶的級別，這種級別有相對寬松的SELinux配置，從而破壞行為會加大。

舉例來說，攻擊者可以通過替換目標(biāo)應(yīng)用的apk接管受害者手機(jī)上的任意應(yīng)用。這就可以讓攻擊者以受害者的身份執(zhí)行操作。另外，我們還可以利用Android Keychain應(yīng)用運行shell命令，從設(shè)備中的所有應(yīng)用中竊取數(shù)據(jù)。甚至還可以更改SELinux策略，在某些設(shè)備上還可以加載惡意的內(nèi)核模塊。

攻擊過程

首先攻擊者會做一個看起來沒有安全隱患的APP，安裝后，應(yīng)用不會請求讀取設(shè)備數(shù)據(jù)，因此用戶會放松警惕。

但是一旦安裝后，惡意軟件就會用OpenSSLX509Certificate中的漏洞修改手機(jī)內(nèi)存值，然后提權(quán)。進(jìn)而用假的APP替換正規(guī)的APP，重啟設(shè)備，重啟后攻擊者就可以收集用戶數(shù)據(jù)了。

演示視頻

以下是PoC的演示視頻。一旦惡意軟件被執(zhí)行，它就會用假APP替代真APP，攻擊者便可以從應(yīng)用中竊取敏感數(shù)據(jù)或者制造釣魚攻擊。視頻中，研究人員將真的Facebook應(yīng)用替換為名為Fakebook的假APP。

SDK漏洞(CVE-2015-2000/1/2/3/4/20)

研究人員還在幾款SDK中發(fā)現(xiàn)了漏洞：

Jumio (CVE-2015-2000)

MetaIO (CVE-2015-2001)

PJSIP PJSUA2 (CVE-2015-2003)

GraceNote GNSDK (CVE-2015-2004)

MyScript (CVE-2015-2020)

esri ArcGis (CVE-2015-2002)

另外，Google Play Services APK中同樣包含了帶漏洞的OpenSSLX509Certificate類。

補(bǔ)丁 

好消息是Google已經(jīng)修復(fù)了Android 4.4、5.1、5.0平臺中的漏洞，在Android M (build MPZ79M)版本中漏洞也已被修復(fù)。上述的SDK廠商也同樣修復(fù)了產(chǎn)品中的漏洞。但你的設(shè)備要等多久才能有更新推送就是另一回事了。

研究人員將在華盛頓舉辦的USENIX WOOT ’15大會上分享更多細(xì)節(jié)。你也可以查看他們的論文了解更多。