Reports

Palo Alto Networks威脅簡報:立即補救,免受Android Toast覆蓋攻擊

  •  
  •  
  •  

Palo Alto Networks Unit 42的研究人員公佈有關一個嚴重影響 Google Android 平台的全新漏洞的詳細資訊。2017 年 9 月 Android安全告示已提供這一漏洞的修補程式。這新漏洞並不影響最新版本的 Android 8.0 Oreo,但是會影響Android所有的舊版本。

 

有些惡意程式會以本文章所提及的途徑發起攻擊,但 Palo Alto Networks Unit 42 目前並未發現任何針對此特定漏洞的攻擊。由於 Android 8.0 版本相對較新,這意味著幾乎所有 Android 用家都應該立即採取行動,安裝針對此漏洞的更新。

 

研究人員發現,利用該漏洞能夠更容易發動「覆蓋攻擊」(overlay attack);它屬於 Android 平台上已知的攻擊類型。此類攻擊最有可能用於在用家的 Android 裝置上安裝惡意程式,亦可以用來使惡意程式完全控制裝置。在最差的攻擊情況下,這項漏洞可導致手機無法使用 (亦即「變磚」),或可安裝任何類型的惡意程式,包括勒索程式或資訊竊取程式。簡單而言,該漏洞可被用作取得裝置控制權、鎖定裝置並竊取資料。

 

「覆蓋攻擊」這種攻擊方式,是指攻擊者的應用程式會在裝置上執行的其他視窗或應用程式之上繪製 (或「覆蓋」) 一個視窗。成功後攻擊者便能夠誤導用家,使其將自己點擊的入侵視窗當作正常視窗。從圖1示例可見:攻擊者讓使用者誤以為自己正安裝修補程式,實際上點擊授予惡意程式Porn Droid完全管理員權限。

 

偽造的修補安裝程式所覆蓋的惡意程式正在要求取得管理權限

 

可見這攻擊是如何誘騙用家無意間在裝置上安裝惡意程式。這也可以授予惡意程式對裝置的完全管理權限。

覆蓋攻擊也可通過在裝置上顯示無法關閉的視窗,從而創造拒絕服務條件。這正是攻擊者在流動裝置上發動勒索軟件攻擊所使用的方式。

當然,覆蓋攻擊能夠在單一攻擊中達成以下三個目的:

 

  1. 誘騙用家在裝置上安裝惡意程式。
  2. 誘騙用家對惡意程式授予完全管理權限。
  3. 使用覆蓋攻擊來鎖定裝置,並藉此勒索贖金。

 

覆蓋攻擊並非新鮮事,早前便曾引起過關注 ,但直到目前,根據 IEEE 安全與私隱期刊中的最新研究顯示,所有人都相信試圖進行覆蓋攻擊的惡意應用程式若要成功,必須克服兩大障礙:

 

  1. 這些應用程式必須在安裝時明確向用家授予「draw on top」權限。
  2. 這些應用程式必須通過 Google Play 進行安裝。

 

這些緩解因素能夠有效降低風險,因此覆蓋攻擊並未被視為嚴重的威脅。

 

然而根據 Unit 42 的全新研究顯示,有種方式可以繞過這些緩解因素來發動覆蓋攻擊。我們的研究人員發現若惡意應用程式利用這個新漏洞,那麼它只需安裝在裝置上安裝即可發動覆蓋攻擊。這意味著來自其他網站與Google Play 以外的應用程式商店的惡意應用程式,也能進行覆蓋攻擊。值得注意的是,來自 Google Play 以外的網站與應用程式商店的應用程式,也是全球 Android 惡意程式的重要來源。

 

這個會影響 Android 功能的特定漏洞被稱為「Toast」。「Toast」是一種會在螢幕上「彈出」(就像多士一樣) 的通知視窗。「Toast」通常用於在其他應用程式上顯示訊息和通知。

 

與其他 Android 視窗類型不同,Toast不需要相同的權限,因此適用於以前的覆蓋攻擊之緩解因素在此並不適用。另外,我們的研究人員已概述如何建立覆蓋整個螢幕的 Toast 視窗,繼而能夠使用 Toast 來建立與一般應用程式視窗相同功能的視窗。

 

根據此最新研究,覆蓋攻擊的風險便更高,幸好最新版本的 Android 從一開始即可免受這類攻擊的影響。然而大部份的 Android 用家還在使用未經修補漏洞的版本,這意味著對所有使用Android 8.0 以前版本的用家而言,更新裝置至關重要。你可以向電訊商或手機製造商了解有關修補程式與更新程式的相關資訊。

 

當然,防範惡意應用程式最好的方式之一就是只從 Google Play 下載 Android 應用程式,因為 Android 的安全團隊會積極篩選並在第一時間將惡意程式排除在商店外。

 

閱讀更多有關網絡安全的網誌,請瀏覽:https://researchcenter.paloaltonetworks.com/unit42/

 


  •  
  •  
  •  

Chris

Chris Wong,主修新聞傳理,曾任職調查公司,細心發掘數據及真相,所有事情皆由微小因素所連繫。