Google Play商店漏洞：黑客可远程在你的安卓手机上安装恶意APP

安全研究人员发现Google Play商店中两个严重安全漏洞，可以允许攻击者远程在用户的安卓设备上安装并下载恶意APP（应用）。

Metasploit框架的技术领导Tod Beardsley在Rapid7上提醒说：

一个X-Frame-Options（XFO）漏洞结合一个最近的安卓WebView（Jelly Bean）漏洞，就可以创造出一种新的攻击方式——通过该方式黑客可以利用google play商店悄无声息地向受害者的安卓设备安装任何恶意APP，即使没有征得用户允许。

受影响的用户

该漏洞影响安卓4.3 Jelly Bean及之前所有未接收过针对WebView的官方更新的版本，同样的，安装第三方浏览器的用户同样受到影响。

根据研究人员的消息，在安卓4.3和之前版本的web浏览器都会受到通用跨站脚本（UXSS）攻击的影响，并且google play商店也受跨站脚本（XSS）攻击影响。

通用跨站脚本攻击漏洞

在UXSS攻击中，在web浏览器或浏览器插件中利用客户端漏洞来产生一个XSS环境，它使得攻击可在web浏览器中执行恶意代码、绕过或者关闭安全保护机制。

安全研究人员证明，从play.google.com域名响应返回的JavaScript和Ruby代码如果没有携带适当的XFO头，则会导致该漏洞。

Beardsley在周二发布的一篇博文中解释道：

“这些平台的用户可能已经安装了受影响的应用市场的浏览器，直到google play商店XFO缺口被关闭，这些web应用的用户才不会继续受到影响。”

此外，在这个月初，一个通用型跨站脚本漏洞被发现存在于所有最新版本的IE浏览器中（查看更多），该漏洞允许黑客向用户网站中注入恶意代码，并盗取cookies、会话和登录凭证。

漏洞利用测试：Metasploit模块已公开

为了帮助企业安全人员测试企业发行的智能手机是否受该漏洞的影响，相应的Metasploit模块已被创建并发布在了Github上。根据报告所说，通过利用影响安卓设备的两个漏洞，就可以实现远程代码执行操作。

首先，该模块利用一个存在于安卓开源stock浏览器（AOSP浏览器）和其他浏览器（4.4版本之前）中的通用型跨站脚本漏洞。

第二，google play商店的web接口不能在一些错误的网页中执行“X-Frame-Options：DENY头”，所以，它就可被作为脚本注入目标。结果，通过google play的远程安装特性，即google play商店中的任何应用都能被安装到用户的安卓设备上，这就会导致远程代码执行攻击。

如何预防设备暴露在危险之中

为了预防我们的安卓设备暴露在该漏洞的危险之下，用户可以采取下面两种措施的任何一个：

1、使用一个不受众所周知的UXSS漏洞影响的web浏览器，例如谷歌Chrome浏览器、Mozilla火狐浏览器或者Dolphin。这有助于减轻play.google.com域名的通用XFO的缺乏。

2、另一个有效的措施很简单，那就是退出google play商店的账户，以此来避免漏洞的影响，不过，这种方法极有可能不会被大多数用户采纳。