2017年9月13日，Palo Alto Networks Unit 42 研究人員發(fā)布了關(guān)于影響 Google Android 平臺的新型高嚴重性漏洞的詳細信息。2017 年 9 月 Android 安全公告中提供了用于修復(fù)該漏洞的補丁。這種新型漏洞不會影響最新版本 Android 8.0 Oreo，但會影響所有之前的 Android 版本。某些惡意軟件會通過本文列出的一些途徑進行漏洞利用，但 Palo Alto Networks Unit 42 目前并未發(fā)現(xiàn)針對這一特定漏洞進行的任何攻擊。由于 Android 8.0 版本相對較新，這意味著幾乎所有 Android 用戶都應(yīng)立即采取行動，安裝針對此漏洞的更新。

我們的研究人員發(fā)現(xiàn)利用該漏洞能夠更容易發(fā)起“覆蓋攻擊”，這是一種針對 Android 平臺的已知攻擊類型。此類攻擊最有可能用于在用戶的 Android 設(shè)備上安裝惡意軟件，還可用于使惡意軟件完全控制設(shè)備。在最壞的情況下，該漏洞可導(dǎo)致手機無法使用(即“變磚”)或安裝任意惡意軟件，包括但不限于勒索軟件或信息竊取程序。簡單說來，該漏洞可用于控制、鎖定被攻擊設(shè)備并在之后竊取信息。

在“覆蓋攻擊”中，攻擊者的應(yīng)用會在設(shè)備上運行的其他窗口和應(yīng)用上繪制(或者說“覆蓋”)一個窗口。如果得逞，則攻擊者將會誘騙用戶，使其將自己點擊的入侵窗口當(dāng)作正常窗口。在圖 1 的示例中，攻擊者讓用戶以為自己是在通過單擊來安裝補丁，但實際上用戶單擊后會授予 Porn Droid 惡意軟件對設(shè)備的完全管理員權(quán)限。

偽造的補丁安裝程序下所覆蓋的惡意軟件正在請求獲取管理權(quán)限

您可以看到這種攻擊是如何誘騙用戶無意中在設(shè)備上安裝惡意軟件的。它還可用于授予惡意軟件對設(shè)備的完全管理權(quán)限。

覆蓋攻擊也可通過在設(shè)備上顯示無法關(guān)閉的窗口，從而創(chuàng)造拒絕服務(wù)條件。這正是攻擊者在移動設(shè)備上發(fā)起勒索軟件攻擊所使用的方式。

當(dāng)然，覆蓋攻擊可在一次攻擊中實現(xiàn)以下三個目的：

1. 誘騙用戶在設(shè)備上安裝惡意軟件。

2. 誘騙用戶授予惡意軟件對設(shè)備的完全管理權(quán)限。

3. 使用覆蓋攻擊鎖定設(shè)備并以此索要贖金。

覆蓋攻擊并不是新生事物，此前就已經(jīng)引起過人們的關(guān)注。但在此之前，根據(jù) IEEE 安全與隱私期刊中的最新研究結(jié)果，所有人都認為試圖發(fā)起覆蓋攻擊的惡意應(yīng)用要想成功，必須克服兩大障礙：

1. 必須在安裝時明確要求用戶授予其 “draw on top” 權(quán)限。

2. 必須通過 Google Play 進行安裝。

這些都是重要的緩解因素，正因如此，覆蓋攻擊并沒有被視為嚴重威脅。

但是，我們新的 Unit 42 研究顯示，有一種途徑可以繞過這些緩解因素發(fā)起覆蓋攻擊。我們的研究人員發(fā)現(xiàn)，如果惡意應(yīng)用利用這個新漏洞，那么它只需安裝在設(shè)備上即可發(fā)起覆蓋攻擊。特別是，這意味著來自網(wǎng)站和除 Google Play 之外的其他應(yīng)用商店的惡意應(yīng)用均可發(fā)起覆蓋攻擊。值得注意的是，來自網(wǎng)站和除 Google Play 之外的其他應(yīng)用商店的應(yīng)用是全球 Android 惡意軟件的重要來源。

其中一個特定漏洞可影響名為 “Toast”(吐司)的 Android 功能。“Toast” 是一種在屏幕上“彈出”(就像烤吐司一樣)的通知窗口。“Toast” 通常用于在其他應(yīng)用之上顯示消息和通知。

與 Android 中的其他窗口類型不同，Toast 不需要相同的權(quán)限，因此適用于以前的覆蓋攻擊的緩解因素在此并不適用。此外，我們的研究人員也已概述了如何創(chuàng)建覆蓋整個屏幕的 Toast 窗口，因此使用 Toast 創(chuàng)建與常規(guī)應(yīng)用窗口功能相同的窗口是可能的。

根據(jù)這項最新研究，覆蓋攻擊的風(fēng)險便具有更高的嚴重性。幸運的是，最新版本的 Android 從一開始即可免受這些攻擊的影響。但是，大多數(shù)使用舊版本 Android 的用戶卻容易受到攻擊。這意味著對于所有使用 8.0 之前版本的 Android 用戶來說，更新設(shè)備至關(guān)重要。您可以從移動運營商和手機制造商處了解關(guān)于補丁和更新可用性的信息。

當(dāng)然，防范惡意應(yīng)用最好的途徑之一就是僅從 Google Play 安裝 Android 應(yīng)用，因為 Android 安全團隊始終積極篩選惡意應(yīng)用并從一開始就將其排除在商店之外。