研究发现多个知名安卓应用容易遭到类似中间人的攻击

当你使用安卓设备并安卓某个应用后如果该应用程序弹出通知向你请求外部存储的读取权限你肯定不会拒绝。

因为绝大多数应用程序都需要访问外部存储空间用来存储数据,对于用户而言这种操作似乎也没什么大问题。

但是现在已经有新的攻击手法能够借助外部存储空间来实现攻击,并且还是静悄悄地执行非常难以发现问题。

这类攻击仅限于外部存储空间:

首先需要明确的是机身内部存储空间并不会出现这样的问题,内部存储即系统级应用程序默认情况下的位置。

而应用程序在安装的时候既可以选择安装到内部存储也可以选择外部存储,不过多数程序都会选择内部存储。

但是在内部存储里应用程序都会被使用自己的沙盒环境保护,这意味着别的应用程序无法修改它的存储数据。

外部存储空间的数据则是随意修改的:

有的应用程序占用的空间比较多可能直接安装在外部存储空间,而应用之间是可以相互访问对方的存储数据。

这样攻击者就可以利用访问权限来篡改对方应用程序的数据,还会使用恶意代码来让对方程序发生崩溃等等。

但是这些并不是攻击者的主要目的,日前在拉斯维加斯的黑客大会上安全公司展示利用这种方式进行的攻击。

伪造应用崩溃、替换为恶意软件:

安全公司制作了个非常简单的手电筒类应用程序,该应用程序在权限方面也只是要求能够访问外部存储空间。

原则上这个手电筒并没有什么恶意行为因此安全软件不会拦截,但仅仅是外部访问权限上就可以用来做文章。

研究发现多个知名安卓应用容易遭到类似中间人的攻击

攻击类型1:使其他程序崩溃并替换为恶意版本

这种攻击方式是通过向应用程序插入恶意的数据让应用崩溃,崩溃的同时也可能会暴露应用存在的某些漏洞。

例如原本手电筒应用只需要访问外部存储空间权限,如果被攻击的应用有更多权限则手电筒应用也获得权限。

也就说在没有进行权限申请的情况下直接获得更多权限,如果被攻击的应用程序权限很多那么就会发生危险。

此后还可以将应用程序替换为恶意版本,比如伪造类似应用程序给用户安装上用来窃取账号密码等类型数据。

研究发现多个知名安卓应用容易遭到类似中间人的攻击

攻击类型2:监测对方应用程序更新替换为恶意版本

这种攻击方式主要是当前很多检测到新版本会直接下载安装包,安装包自然要下载并存储到外部存储空间里。

这样恶意应用程序可以监测对方应用外部存储空间变化,如果发现下载了新的安装包则立即替换为恶意文件。

替换恶意文件后应用程序依然还是会自动弹出升级或安装的选项,不知不觉中应用程序就被换成恶意的版本。

多个知名应用程序易被攻击:

分析发现诸如谷歌翻译、谷歌语音输入、Yandex翻译和Yandex搜索知名应用等等都容易受到崩溃型的攻击。

而小米浏览器等国内应用程序由于都是通过下载安装包升级,因此极易受到替换安装文件这种攻击手法攻击。

目前这种攻击手法已经公开,因此后续可能会有越来越多的恶意类应用程序通过此类型的攻击手段发动攻击。

本文来源 BC,由 山外的鸭子哥 整理编辑,其版权均为 BC 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

发表评论