2013年7月29日 星期一

賽門鐵克首次發現6款因「主密鑰漏洞」 均來自大陸

賽門鐵克首次發現6款因「主密鑰漏洞」 均來自大陸

安全公司賽門鐵克在自己的官方博客上發表文章,稱首度發現6款因為Android『主密鑰』漏洞而受到感染的應用,均來自大陸,且為同一攻擊者,但是博客並未透露具體是在哪個應用市場發現的。


根據36氪報導,這種所謂的『主密鑰』漏洞即是本月早些時候移動安全公司 Bluebox披露的一個威脅99%Android設備的漏洞。該漏洞可令駭客在不改變應用密鑰簽名的情況下篡改 APK(安裝包)代碼,從而讀取設備上任意手機應用的資料(電子郵件、短信、文檔等),獲取保存在手機上的所有賬號和密碼,接管並控制手機的正常功能。

雖然此後Google已向OEM提供威脅99%Android設備安全的漏洞補丁,但是由於 Android 的碎片化,Android 設備製造商和移動運營商不是很經常進行更新,以及眾多第三方應用市場對應用上架的鑒權工作不到位,給Android設備帶來很多安全隱患。

賽門鐵克在博客中稱惡意代碼是由Norton Mobile Insight發現的。Norton Mobile Insight是賽門鐵克的一款自動從各個應用商店收集和分析Android應用的工具。迄今為止,Norton Mobile Insight共發現了6款被感染的Android應用,均為大陸應用市場上發現,且攻擊者為同一人,被發現的受感染應用被命名為Android.Skullkey。

從賽門鐵克博客提供的截圖來看,這6款受感染應用的其中兩款為『醫生預約』、『我的工作站』,隨後博客又更新了4款受感染應用,但並未給出應用名稱,只說是分別為一款流行的新聞應用、一款街機遊戲、一款紙牌遊戲以及博彩應用。

賽門鐵克稱,攻擊者對上述應用注入了惡意代碼(具體是哪些應用市場上的未透露),可令其遠端控制設備,盜取諸如手機串號(IMEI)、電話號碼等資訊,並會向手機通信錄的所有人發送指向hldc.com(目前該網站域名為待售狀態)的鏈結,此外如果用戶手機安裝了國內的殺毒軟件,惡意代碼還會利用根權限遮罩這些殺毒軟件。

賽門鐵克稱攻擊者利用此漏洞各增加了兩個與原安裝包內含文件同名的文件,分別為classes.dex(包含有應用代碼)和AndroidManifest.xml(指定權限),以此來篡改應用。

受感染應用截圖

程式碼片段


對於此類病毒的防範,賽門鐵克建議只從出名的Android應用市場下載應用,並利用殺毒軟件掃描安裝應用保護安全。

轉載自《今日新聞網》