从“苹果紧急下架App”,看Android漏洞安全

      从“苹果紧急下架App”,看Android漏洞安全无评论

  苹果紧急下架256款App 罪魁祸首来自国内

  近日,iOS中APP再出事故,苹果公司紧急下架了App Store上超256款应用。据苹果官方透露,下架这些应用是由于使用过名为有米(Youmi)的广告SDK,其中存在安全漏洞。

从“苹果紧急下架App”,看Android漏洞安全

  据网络安全机构SourceDNA的调查报告称,App Store上256款应用违反了苹果相关隐私条例,存在暗中收集用户邮件地址、装机应用、序列号以及其它私人信息等行为,而造成本次安全问题的根本原因,是由于这些应用都使用了一款国内移动广告提供商――有米所提供的第三方广告SDK。

  360手机安全专家指出,虽然存在不安全因素的256款APP已经被苹果紧急叫停下架,但目前为止,这些存在安全隐患的应用总下载量已达100万次。

从“苹果紧急下架App”,看Android漏洞安全

  360手机安全专家分析,存在安全漏洞的有米SDK存在以下行为:收集用户安装在手机上的应用列表信息;在用户运行旧版iOS时,收集手机设备的平台序列号;在运行新版iOS时,收集手机设备的硬件组件及组件序列号;收集用户的Apple ID邮箱地址。

  据360手机安全专家介绍,苹果公司一直禁止使用私有API,iOS 8中就禁止应用读取设备序列号,而有米通过枚举电池系统等外部设备,突破了苹果的限制,以硬件标识符的方式搜集发送这些序列号。此次也是第一次有人成功绕过了苹果的应用审核机制

从“苹果紧急下架App”,看Android漏洞安全

  360手机安全专家了解到,此次被下架的256款应用,均使用了有米来展示广告,而有米则借此收集用户信息。并且,这些数据收集行为已持续大概一年之久,最初从收集App列表开始,直至发展到现在的版本。

从“苹果紧急下架App”,看Android漏洞安全

  对此,苹果方面发表声明称:

  “我们发现一批App涉嫌使用私人API收集用户个人信息,包括邮件地址、设备认证信息以及路由数据,而这些App都使用了有米开发的第三方广告SDK。此行为违反了我们的安全和隐私准则,因而凡使用有米SDK的App均将做下架处理,新App如果使用了该SDK也将遭到拒绝。

  目前,我们正和开发者紧密联系,以帮助他们升级到安全的版本,早日回归App Store。”

从“苹果紧急下架App”,看Android漏洞安全

  360手机安全专家称,此次涉事应用不乏中国版麦当劳APP这类常用应用,这也是继XcodeGhost事件后,iOS平台又一重大安全事件。

  谷歌致谢360发现Android 5.0屏幕录制漏洞,漏洞发现并非偶然

  日前,谷歌批量修复了多个Android漏洞。由360发现的多个漏洞已被谷歌确认并修复,同时谷歌也在公告中再度向360致谢。受到谷歌致谢的Android5.0屏幕录制漏洞由于存在极大安全威胁,360近日也发布了详细报告解析漏洞,避免漏洞被利用肆虐Android用户。

  360互联网安全中心日前发布的《Android5.0屏幕录制漏洞(CVE-2015-3878)威胁预警》提到,低技术门槛的漏洞利用或木马制作隐藏极大安全威胁,当这种安全威胁遇上低安全意识的手机用户时,则可能导致Android平台恶意软件大规模爆发。360互联网安全中心此次向谷歌提交的漏洞完全能够激发以上两个条件,随时可能大规模爆发。

从“苹果紧急下架App”,看Android漏洞安全

  《报告》作者李平一直认为,Android平台上能大规模感染用户的手机病毒,并不是那些技术门槛很高、利用了很多核心技术的系统漏洞的病毒

  2014年肆虐Android平台的“XX神器”、大规模感染用户的“FakeTaobao木马家族”、近来感染众多用户的“流量僵尸木马”,都是此类低技术门槛的手机病毒。李平非常擅长分析病毒特点,并寻根溯源,通过共性发现漏洞,从而控制威胁的蔓延。根据这些病毒特点,在使用Android5.0的屏幕录制功能时,李平非常敏感的发现了这个很容易被利用的UI漏洞。

从“苹果紧急下架App”,看Android漏洞安全

  利用漏洞可随意盗取用户网银

  李平介绍,利用该漏洞,攻击者只需给恶意程序制造一段读起来很“合理的”应用程序名,就可以将Android5.0录屏功能的提示框变成一个UI陷阱,使其失去原有的“录屏授权”提示功能,恶意程序能够在用户不知情的情况下录制用户手机屏幕。

从“苹果紧急下架App”,看Android漏洞安全

  由此演变,这一漏洞对用户个人隐私及财产安全构成极大威胁。《报告》中,360团队针对某银行客户端(Android版)编写了一款漏洞测试样本,通过样本演示了如何利用该漏洞。一旦APP名称被无限加长,手机用户就极难发现自己点击同意的是录制屏幕,恶意软件作恶方式及其隐蔽。

从“苹果紧急下架App”,看Android漏洞安全

  如用户在启动银行客户端后,该程序会发动录制屏幕请求,而通过事先代码编写,提示框会显示大段仿冒的银行风险提示。实际上,真实的提示消息完全被大量的“仿冒”提示掩盖,“将开始截取您的屏幕上显示的所有内容”这种风险提示则很难被发现。

从“苹果紧急下架App”,看Android漏洞安全

  如此,黑客便能从后台录制用户的一切操作,这样能够成功窃取用户在登录该银行客户端时输入的银行账号及密码。不仅如此,《报告》中也分析指出,利用此漏洞的木马还可以轻而易举的获取用户QQ、微信等任何想要监控的软件用户名及密码,且能够掌握任何手机界面的操作情况。

从“苹果紧急下架App”,看Android漏洞安全

  99.9%的Android软件受漏洞影响

  360《报告》评估后表明,对于该漏洞,约99.9%的Android软件都没有抵御潜在威胁的能力;国内的234款手机银行、信用卡客户端软件中,96.2%的软件遇到此类威胁时无法保证用户账户信息安全性;检测发现,国内主流社交软件无一能够抵抗这种潜在威胁;16款主流电商及支付类应用均不能抵抗其威胁。

从“苹果紧急下架App”,看Android漏洞安全

  《报告》中还提出了防范建议和漏洞补丁说明,以免漏洞被利用致Android用户受到威胁。此次由360互联网安全中心发现的漏洞,已被谷歌确认为中危漏洞并进行了修复。为此,谷歌在公告中也再度向360致谢。

发表评论