2013年8月14日 星期三

美國 BlackHat 大會上討論的三個行動漏洞:Android的「master key」漏洞,SIM卡和iPhone充電器漏洞

美國 BlackHat 大會上討論的三個行動漏洞:Android的「master key」漏洞,SIM卡和iPhone充電器漏洞

雖然大部分行動威脅都是以惡意或高風險應用程式的形態出現,行動設備還是會被其他威脅所擾。比方說三星Galaxy設備上所出現的臭蟲和OBAD惡意軟體可以利用漏洞來提升權限。不幸的是,這些並不是行動用戶所需要警惕的唯一漏洞。

就在最近的美國BlackHat大會上,有三個漏洞被討論著:Android的「master key」漏洞,SIM卡iPhone充電器的漏洞

「master key」漏洞最初被報導會影響99%的Android行動設備。這和Android應用程式如何被簽章有關,可能會讓攻擊者不用開發者的簽章金鑰就可以更新已安裝的應用程式。利用這漏洞,攻擊者可以將正常應用程式更換成惡意軟體。當我們的研究人員發現一起攻擊利用這漏洞的去更新並木馬化銀行應用程式。我們親眼看到這個影響會有多大

另一方面,第二個行動設備弱點是多數SIM卡所用的舊加密系統。想利用這漏洞,攻擊者只需發送會故意產生錯誤的簡訊。結果就是SIM卡會回應包含56位元安全金鑰的錯誤代碼。這金鑰可以讓攻擊者用來發送簡訊給設備,以觸發下載惡意Java程式,可以用來執行一些惡意行為,像是發送簡訊,監控手機位置。

跟「master key」漏洞不同的是,SIM卡漏洞可能會影響更多的使用者,因為它並不限定作業系統。此外,由於所述威脅是因為使用舊的解密方式,更新SIM卡以使用較新解密功能對電信業者來說可能會被認為不切實際而昂貴。

還有其他方法來防止針對此漏洞的攻擊。過濾簡訊會是個好開始,不過可能無法用在很基本功能的手機上。有些電信業者也在網路內提供簡訊過濾功能,不過這取決於行動業者。

第三個漏洞確認了即使是iPhone也不能免於漏洞。來自喬治亞理工學院的研究人員可以製造出一個惡意的充電器(也稱為Mactan),其中包含了微型電腦以用來發起USB指令。在最近的美國BlackHat大會上,研究人員展示了惡意充電器可以如何去感染iPhone和執行命令。Apple公司已經宣布了他們下一次軟體更新會解決用來進行攻擊的漏洞問題。

一個在未來更需關心的事情

到目前為止,像Google、Apple和三星等廠商都對這些安全問題迅速地作出回應。不過想想看,到目前為止,行動威脅最已知的形式是大量的惡意應用程式,行動運算漏洞的出現顯示了不同的可能性,也更加令人關注。

從我們在處理個人電腦威脅上所學到的,漏洞對威脅來說是非常有效的途徑。無論對使用者還是開發者來說,它們都非常地棘手。在個人電腦上如何處理漏洞問題還是有許多的討論在進行中,修補程式管理也是一個問題。而這問題在行動運算上可能不會有什麼不同,這趨勢可能會繼續下去。甚至可能會因為消費化和碎片化的關係而變得更加複雜。

行動用戶對於如何防護他們的設備免於威脅的需求比以往任何時候都還要大,也勢必會更加關鍵。不僅僅是因為新威脅或感染點的出現,已知威脅也變得越來越多,而且經過改良。正如我們最近所發表的二〇一三年第二季資安綜合報告裡所提到,攻擊Android的惡意和高風險應用程式已經達到了718,000個,在短短六個月內增加了350,000個。

現在使用者所可以採取的最佳行動就是確保他們的設備軟體是更新的。再加上安裝安全軟體,以及只從信任的來源下載,都有助於減少受攻擊的風險。

想了解更多關於這些漏洞和其他行動威脅趨勢的發展,請參考我們的二〇一三年第二季資安綜合報告 – 「行動威脅全速前進:設備漏洞形成危險之路」。

原文出處:Exploiting Vulnerabilities: The Other Side of Mobile Threats
原文作者:Gelo Abendan
轉載自《雲端運算與網路安全趨勢部落格》