黑客可远程控制你的手机 – Android 4.4惊爆漏洞(含EXP)

2013-11-06 348978人围观 ,发现 19 个不明物体 无线安全

安全专家Jay Freeman发现Android 4.4的另外一个Master Key漏洞,该漏洞允许攻击者绕过签名验证和恶意代码检测,在合法应用中注入恶意代码。

 

“Android Master Key漏洞”最早于去年7月被发现,几乎99%的设备会受到影响。Master Key漏洞允许攻击者修改任何合法、经过数字签名的应用,注入恶意代码以盗取敏感信息、获得设备的远程执行权限。

该漏洞由Bluebox Labs发现并披露,该问题Google将在稍后的Android 4.3 Jelly Bean版本中修复。Google已经修改检测策略,避免Play Store上的应用被恶意代码修改并提交。

2013年7月,中国的安卓安全小分队也披露了该类似漏洞。

如今Google发布了Android 4.4系统并命名为KitKat,承诺该版本的系统具有更好的安全性、并修复了所有的Master Key漏洞——然而事实证明安全不是绝对的。

安全专家Jay Freeman(同Cydia的开发者Saurik齐名)表示,同样的Master Key漏洞存在于Android 4.4 KitKat系统中,并发布了Python版的exp来演示漏洞的利用。

“昨晚Android 4.4的代码已经更新到AOSP,修复了另个数字签名验证的漏洞,编号 #9950697,虽然这一次漏洞没有之前的严重,但是已经足以通过技术来实现利用。在这篇文章里,我会展现如何通过Python来编写利用程序。”

 

(译者注:不好意思,原文贴的exp也是张图片

该漏洞与安卓安全小分队披露的漏洞相似。每个应用都必须由开发者添加自签名证书进行验证,安卓的应用程序管理器决定程序能否共享信息、获得相关权限,并验证开发者的签名。

“即使系统软件是由制造商签名的,具有相同签名证书的系统软件可以做任何事。一般来说,除非你是厂商,才可以做到这点。但通过利用#8219321漏洞,任何人都可以窃取这些证书签名”
“这就导致了一个风险,外部的第三方应用具有跟你一样的签名证书。当你在安装一个你认为无害的游戏时,这个看似由你们厂商发布的应用却获取了系统权限。”
“该漏洞涉及Android应用如何加密验证与安装、修改代码但不影响签名。”

该EXP在不影响签名的情况下通过修改应用程序安装包,从而安装到系统中并获得所有的权限和数据。

尽管目前还没有在Google Play商城中发现利用该漏洞添加恶意代码的程序,未发现有Android用户受到该漏洞的危害,建议不要到非官方商城下载应用

 

原文

这些评论亮了

  • 河蟹爹 回复
    @河蟹 这个不是什么溢出的问题。是篡改代码不影响签名的问题。海伦你看懂否?
    )23( 亮了
  • 河蟹爷 回复
    @河蟹 还要老爷子告诉你怎么运行?要我教你怎么擦屎吗?
    )13( 亮了
  • 河蟹 回复
    关键得别人安装你这个apk啊。我还以为是什么远程溢出。
    windows下的木马多得去了,你的木马免杀做得最好也得想办法让人家运行。
    )13( 亮了
发表评论

已有 19 条评论

取消
Loading...
css.php