近日,安卓手机被曝出存在名为“寄生兽”的通用型安全漏洞,市面上众多手机应用程序都可能受到这个漏洞影响。特别是购物时,用户的银行、支付宝等账号密码等信息很可能被盗。 图一:央视曝光手机“寄生兽”漏洞 寄生兽”是何方“神兽” 据有关专家介绍,漏洞原理是由于安卓应用的升级都需要重新安装程序,为了避免频繁升级给用户体验和开发都带来了不便,所以现在市面上的app大都使用插件机制来做到无缝升级和扩展功能,APP只需要引入相应的插件文件即可完成升级。但这种做法却隐藏了不为人知的安全隐患。 图二:“寄生兽”名字来源于某动漫 VulpeckerTeam的安全专家黎博解释,APP插件机制的实现方式是把相关功能编写成单独apk或jar文件,然后在程序运行时用DexClassLoader函数动态加载,进行反射调用。由于安卓应用的代码缓存机制会优先加载运行APK的缓存代码odex,因此如果针对插件的odex文件进行攻击,开发者对于插件文件所做的各种保护都将失效。 安全人员测试了市面上几款主流的app,凡是用到了这种插件机制的app,都没有对DexClassLoader的第二个参数做校验,一旦攻击者将恶意代码注入APK的缓存代码(odex)中,开发者对apk/jar做的各种保护都将失效。而且这种攻击,APK自身很难发现,即使重启或关机,只要app一运行,恶意代码就会随之运行。 如何拯救你的安卓手机 相关新闻出来后,很多安全方面专家纷纷站出来表态,“寄生兽”作为APP层的漏洞,用户也许可以从系统层面去解决这个棘手的问题,这就需要用户去刷第三方ROM来解决,也就是说刷机有可能成为“寄生兽”的必杀技。 小编从国内刷机市场上了解到,作为国内最大的第三方刷机软件--刷机精灵在帮助用户刷机过程中,会自行检测用户手机中的系统漏洞、隐患软件、支付风险等可能存在的系统隐患,从这方面讲,刷机的确有可能帮助用户躲避“寄生兽”的攻击,用户不妨一试。 图三:刷机精灵可规避众多系统风险
陈晨
|