Android設備中的“Fake ID”漏洞允許惡意應用程序偽裝成可信任的程序,使機密數據面臨風險,同時加劇了BYOD安全問題。
谷歌Android “Fake ID”漏洞允許攻擊者將惡意應用程序偽裝成可信任的程序,使得數百萬智能手機和平板電腦用戶的敏感信息處于威脅之中,并瞬時提升了大家對“有效應對BYOD風險”的關注。
發現該漏洞的Bluebox實驗室將它稱為Fake ID,這個漏洞可以追溯到2010年1月,來自Apache Harmony(現已解散)的代碼被引入到Android平臺。它影響著Android版本2.1到4.3;谷歌在4月的KitKat版本中修復了這個漏洞。然而,根據谷歌的報告顯示,大約有82%的Android設備仍然在未修復該漏洞的平臺運行。
該 Android漏洞出現在當惡意應用程序使用受信任程序的ID時,即數字簽名方面出了問題。在Bluebox的博客中,首席技術官Jeff Forristal使用Adobe系統為例:Adobe擁有自己的數字簽名,并且來自Adobe的所有程序都是用基于該簽名的ID。由于Android授予Adobe特權,使用Adobe ID的任何應用程序或程序都會繞過安全檢查,并且本質上都是可信的。
通過使用ID假冒Adobe的應用程序可能會滲透到設備中,而且操作系統和用戶不會感覺到任何異樣。Forristal還指出了另外兩個可能的危險情景,包括一個應用程序偽裝成谷歌錢包的簽名來訪問設備的近場通信芯片來收集財務、支付和其他敏感用戶數據,以及一個應用程序使用3LM軟件的ID(現已解散的皮膚生產廠家)來控制設備和植入惡意軟件。
這個問題不僅限于單個公司、應用程序或簽名,在很多情況下,即使設備管理軟件也可能上當,如果不及時更新的話。
在今年3月份,Bluebox將這個漏洞報告給了谷歌,谷歌在4月份迅速發布了補丁給制造商、Android合作伙伴和 Android開源項目,制造商有 90天時間來部署。谷歌還聲稱Google Aplay和Verify Apps的安全性已經被更新來檢測該問題。谷歌在聲明中指出:“現在,我們已經掃描了提交到Google Play的所有應用程序,以及谷歌從Google Play以外審查的程序,我們沒有看到任何證據表明對該漏洞的利用。”
想要保護用戶和BYOD員工免受Fake ID漏洞影響,企業在下載應用時需要做出明智的決策。僅下載Google Play商店中獲批準的應用,永遠不要使用來自不受信任來源的應用。更新版本的反惡意軟件也應該能夠檢測到該漏洞。
為了緩解企業BYOD風險,安全部門應該使用應用程序白名單來批準受信任的應用;培訓員工如何避免網絡釣魚攻擊;使用具有應用縫隙的軟件;并且,為了獲得最高安全性,企業可以構建企業應用商店,其中提供企業認可的應用來供員工下載。
Bluebox還發布了Bluebox Security Scanner,這可以檢測Fake ID漏洞。目前關于該漏洞是如何被發現的細節還沒有公布,Forristal會在黑帽大會上公布調查結果。
