Android漏洞让BYOD安全问题更加突出

Android设备中的“Fake ID”漏洞允许恶意应用程序伪装成可信任的程序,使机密数据面临风险,同时加剧了BYOD安全问题。谷歌Android的一个漏洞允许攻击者将恶意应用程序伪装成可信任的程序,这使数百万智能手机和平板电脑用户的敏感信息处于威胁之中,并且瞬时提升了大家对缓解BYOD风险的关注。 发现该漏洞的Bluebox实验室将它称为Fake ID,这个漏洞可以追溯到2010年1月,来自Apache Harmony(现已解散)的代码被引入到Android平台。它影响着Android版本2.1到4.3;谷歌在4月的KitKat版本中修复了这个漏洞。然而,根据谷歌的报告显示,大约有82%的Android设备仍然在未修复该漏洞的平台运行。 该Android漏洞出现在当恶意应用程序使用受信任程序的ID时,即数字签名方面出了问题。在Bluebox的博客中,首席技术官Jeff Forristal使用Adobe系统为例:Adobe拥有自己的数字签名,并且来自Adobe的所有程序都是用基于该签名的ID。由于Android授予Adobe特权,使用Adobe ID的任何应用程序或程序都会绕过安全检查,并且本质上都是可信的。 通过使用ID假冒Adobe的应用程序可能会渗透到设备中,而且操作系统和用户不会感觉到任何异样。Forristal还指出了另外两个可能的危险情景,包括一个应用程序伪装成谷歌钱包的签名来访问设备的近场通信芯片来收集财务、支付和其他敏感用户数据,以及一个应用程序使用3LM软件的ID(现已解散的皮肤生产厂家)来控制设备和植入恶意软件。 这个问题不仅限于单个公司、应用程序或签名,在很多情况下,即使设备管理软件也可能上当,如果不及时更新的话。 在今年3月份,Bluebox将这个漏洞报告给了谷歌,谷歌在4月份迅速发布了补丁给制造商、Android合作伙伴和Android开源项目,制造商有90天时间来部署。谷歌还声称Google Aplay和Verify Apps的安全性已经被更新来检测该问题。谷歌在声明中指出:“现在,我们已经扫描了提交到Google Play的所有应用程序,以及谷歌从Google Play以外审查的程序,我们没有看到任何证据表明对该漏洞的利用。” 想要保护用户和BYOD员工免受Fake ID漏洞影响,企业在下载应用时需要做出明智的决策。仅下载Google Play商店中获批准的应用,永远不要使用来自不受信任来源的应用。更新版本的反恶意软件也应该能够检测到该漏洞。 为了缓解企业BYOD风险,安全部门应该使用应用程序白名单来批准受信任的应用;培训员工如何避免网络钓鱼攻击;使用具有应用缝隙的软件;并且,为了获得最高安全性,企业可以构建企业应用商店,其中提供企业认可的应用来供员工下载。 Bluebox还发布了Bluebox Security Scanner,这可以检测Fake ID漏洞。目前关于该漏洞是如何被发现的细节还没有公布,Forristal会在黑帽大会上公布调查结果。

------------------------------

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2014-08-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏程序员宝库

5G标准来了!中国预计投资1.5万亿;黑客宣布无条件删除A站泄露数据库;美图开源DPoS算法;CMake 3.11.4发布

第一阶段全功能完整版 5G 标准正式出台,带来“全功能”的 5G 网络能力。这一标准是 5G 发展的重要里程碑,下一步将投入商用阶段。

1904
来自专栏域名资讯

Publica公司以7.5万美金买下域名publica.com

今年1月初,一枚英文域名publica.com以7.5万美金,约48.6万元的价格交易。

2086
来自专栏FreeBuf

一不留神就被别人当枪使的年代

人心不古,世风日下…… 已经想不起什么时候我们竟然习惯了小心翼翼地浏览网页,习惯了去时刻提防各种各样的诱骗。 形形色色的陷阱 互联网已经成为了我们生活的一部分,...

2135
来自专栏程序员宝库

投票反对预装国产系统?联想辟谣;Git协议v2正式推出;英特尔、微软公布漏洞出现新变体;VS2017 15.8第一个预览版发布

继联想集团在 5G 标准投票中未投给华为之后,5 月 21 日,有媒体再次报道称,联想集团在中央某采购中心关于预装国产操作系统的投票会上投了反对票。该报道称,本...

2623
来自专栏企鹅号快讯

2018年的黑客攻击 你做好准备了吗?

Equifax黑客事件泄露了1.45亿社会安全号,WannaCry勒索软件锁定了大量计算机并要求用户支付比特币赎金。经过了这一整年,我们还需要更多证据来说服自己...

3979
来自专栏极乐技术社区

公众号可群发小程序卡片 | 微信 2.4 版本带来「企业微信名片夹」小程序

轻松一刻 ? 漫画来自于西乔《神秘的程序员们》 01 小程序新能力灰度测试,微信公众号可直接群发小程序卡片。 近日用户反映,有公众号已经可以直接群发小程序卡片了...

82410
来自专栏FreeBuf

安全公司新星Aorato推出“行为防火墙”

近日,安全公司新星Aorato新获1000万投资,推出基于行为的目录服务应用防火墙DAF(behavior-based Directory Services A...

1686
来自专栏VRPinea

HTC发布Vive无线适配器设置说明,需要额外的PCle插槽

虽然当初预计该款设备将在夏末发售,但至今还没有具体的价格和发售日期。不过最近在该公司的英国站点(该页面现已移除)上,出现了一份安装手册。手册上详细介绍了安装英特...

731
来自专栏FreeBuf

Emotet的演变:从银行木马到网络威胁分销商

有证据表明,Emotet背后的运营团队Mealybug已经从维护自己的自定义银行木马发展成为了其他组织的恶意软件的分销商。

1392
来自专栏FreeBuf

Trustwave:中国制GSM语音网关存在Root权限后门

近日,网络安全公司Trustwave发布了一份报告,称在一家名为DBL Technology(得伯乐科技)的中国公司生产的GoIP GSM语音网关中发现了一个隐...

2288

扫码关注云+社区

领取腾讯云代金券