Google Play商店漏洞:黑客可远程在你的安卓手机上安装恶意APP

安全研究人员发现Google Play商店中两个严重安全漏洞,可以允许攻击者远程在用户的安卓设备上安装并下载恶意APP(应用)。

Metasploit框架的技术领导Tod Beardsley在Rapid7上提醒说:

一个X-Frame-Options(XFO)漏洞结合一个最近的安卓WebView(Jelly Bean)漏洞,就可以创造出一种新的攻击方式——通过该方式黑客可以利用google play商店悄无声息地向受害者的安卓设备安装任何恶意APP,即使没有征得用户允许。

受影响的用户

该漏洞影响安卓4.3 Jelly Bean及之前所有未接收过针对WebView的官方更新的版本,同样的,安装第三方浏览器的用户同样受到影响。

根据研究人员的消息,在安卓4.3和之前版本的web浏览器都会受到通用跨站脚本(UXSS)攻击的影响,并且google play商店也受跨站脚本(XSS)攻击影响。

通用跨站脚本攻击漏洞

在UXSS攻击中,在web浏览器或浏览器插件中利用客户端漏洞来产生一个XSS环境,它使得攻击可在web浏览器中执行恶意代码、绕过或者关闭安全保护机制。

安全研究人员证明,从play.google.com域名响应返回的JavaScript和Ruby代码如果没有携带适当的XFO头,则会导致该漏洞。

Beardsley在周二发布的一篇博文中解释道:

“这些平台的用户可能已经安装了受影响的应用市场的浏览器,直到google play商店XFO缺口被关闭,这些web应用的用户才不会继续受到影响。”

此外,在这个月初,一个通用型跨站脚本漏洞被发现存在于所有最新版本的IE浏览器中(查看更多),该漏洞允许黑客向用户网站中注入恶意代码,并盗取cookies、会话和登录凭证。

漏洞利用测试:Metasploit模块已公开

为了帮助企业安全人员测试企业发行的智能手机是否受该漏洞的影响,相应的Metasploit模块已被创建并发布在了Github上。根据报告所说,通过利用影响安卓设备的两个漏洞,就可以实现远程代码执行操作。

首先,该模块利用一个存在于安卓开源stock浏览器(AOSP浏览器)和其他浏览器(4.4版本之前)中的通用型跨站脚本漏洞。

第二,google play商店的web接口不能在一些错误的网页中执行“X-Frame-Options:DENY头”,所以,它就可被作为脚本注入目标。结果,通过google play的远程安装特性,即google play商店中的任何应用都能被安装到用户的安卓设备上,这就会导致远程代码执行攻击。

如何预防设备暴露在危险之中

为了预防我们的安卓设备暴露在该漏洞的危险之下,用户可以采取下面两种措施的任何一个:

1、使用一个不受众所周知的UXSS漏洞影响的web浏览器,例如谷歌Chrome浏览器、Mozilla火狐浏览器或者Dolphin。这有助于减轻play.google.com域名的通用XFO的缺乏。

2、另一个有效的措施很简单,那就是退出google play商店的账户,以此来避免漏洞的影响,不过,这种方法极有可能不会被大多数用户采纳。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-02-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏linux驱动个人学习

SELinux 是什么?

一、SELinux的历史 SELinux全称是Security Enhanced Linux,由美国国家安全部(National Security Agency...

3625
来自专栏大数据架构师专家

从运维角度看中大型网站架构的演变之路

网上有很多文章类似于我今天要分享的课程,有架构师写的,有运维写的,还有开发些的,偏重点都不同,今天我以咱们运维角度全面讲解。

1503
来自专栏后端技术探索

纯干货--秒杀系统架构分析与实战

(1)查询商品;(2)创建订单;(3)扣减库存;(4)更新订单;(5)付款;(6)卖家发货

3314
来自专栏「3306 Pai」社区

怎么让MySQL自动化平台再快10倍?

我的前文《构建MySQL自动化平台思路》中提过的MySQL平台自第一期上线后,一直都是顺风顺水的。

2345
来自专栏FreeBuf

HTTP2.0协议被曝4个高危漏洞,可致服务器崩溃

如果你认为HTTP2.0协议比标准HTTP(超文本传输协议)更安全,那你就错了。有研究人员花费4个月的时间在HTTP2.0协议中发现4个漏洞! 去年2月,谷歌把...

2778
来自专栏架构师之路

即使删了全库,保证半小时恢复

近期一篇《就这样把根目录删了!!!》引发了广泛的讨论,《如何防止根目录被删》汇总了7种防删方案。还有同学评论中反馈“不小心把库删了”,如何快速恢复删掉的数据库,...

4125
来自专栏分布式系统和大数据处理

互联网创业核心技术:构建可伸缩的Web应用

第1章,主要讲解了可伸缩的两种方案,包括垂直伸缩和水平伸缩。同时,概括性地讲述了从前端到数据中心所可能应用到的各种技术。

1561
来自专栏安恒信息

Oracle WebLogic安全漏洞预警

安恒信息 网络安全前沿资讯、 应急响应解决方案、技术热点深度解读 漏洞安全公告 2018年4月17日,Oracle官方发布了2018年4月安全更新公告,包含了其...

4125
来自专栏Java后端技术

几款效率神器助你走上人生巅峰

  在我的工作和生活中,我一直都很注重效率工具的使用,这么些年下来也积累好几款很不错,但是又不为大多数人所熟知的软件工具,我用起来得心应手,很不错。那我就像在此...

1103
来自专栏owent

libatbus基本功能及单元测试终于写完啦

经过茫茫长时间的编写+过年在家无聊补充和修正单元测试,再加上这两天的整理,终于把以前的这个关于服务器通信中间件的基本功能和相应的单元测试完成啦。还是可以热烈庆祝...

1042

扫码关注云+社区

领取腾讯云代金券