freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

黑客可远程控制你的手机 - Android 4.4惊爆漏洞(含EXP)
2013-11-06 09:54:58

安全专家Jay Freeman发现Android 4.4的另外一个Master Key漏洞,该漏洞允许攻击者绕过签名验证和恶意代码检测,在合法应用中注入恶意代码。

 

“Android Master Key漏洞”最早于去年7月被发现,几乎99%的设备会受到影响。Master Key漏洞允许攻击者修改任何合法、经过数字签名的应用,注入恶意代码以盗取敏感信息、获得设备的远程执行权限。

该漏洞由Bluebox Labs发现并披露,该问题Google将在稍后的Android 4.3 Jelly Bean版本中修复。Google已经修改检测策略,避免Play Store上的应用被恶意代码修改并提交。

2013年7月,中国的安卓安全小分队也披露了该类似漏洞。

如今Google发布了Android 4.4系统并命名为KitKat,承诺该版本的系统具有更好的安全性、并修复了所有的Master Key漏洞——然而事实证明安全不是绝对的。

安全专家Jay Freeman(同Cydia的开发者Saurik齐名)表示,同样的Master Key漏洞存在于Android 4.4 KitKat系统中,并发布了Python版的exp来演示漏洞的利用。

“昨晚Android 4.4的代码已经更新到AOSP,修复了另个数字签名验证的漏洞,编号 #9950697,虽然这一次漏洞没有之前的严重,但是已经足以通过技术来实现利用。在这篇文章里,我会展现如何通过Python来编写利用程序。”

 

(译者注:不好意思,原文贴的exp也是张图片

该漏洞与安卓安全小分队披露的漏洞相似。每个应用都必须由开发者添加自签名证书进行验证,安卓的应用程序管理器决定程序能否共享信息、获得相关权限,并验证开发者的签名。

“即使系统软件是由制造商签名的,具有相同签名证书的系统软件可以做任何事。一般来说,除非你是厂商,才可以做到这点。但通过利用#8219321漏洞,任何人都可以窃取这些证书签名”
“这就导致了一个风险,外部的第三方应用具有跟你一样的签名证书。当你在安装一个你认为无害的游戏时,这个看似由你们厂商发布的应用却获取了系统权限。”
“该漏洞涉及Android应用如何加密验证与安装、修改代码但不影响签名。”

该EXP在不影响签名的情况下通过修改应用程序安装包,从而安装到系统中并获得所有的权限和数据。

尽管目前还没有在Google Play商城中发现利用该漏洞添加恶意代码的程序,未发现有Android用户受到该漏洞的危害,建议不要到非官方商城下载应用

 

原文

本文作者:, 转载请注明来自FreeBuf.COM

被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑