比利时的安全研究员,Arne Swinnen已经帮助谷歌修复Android 7的安全问题,之前的操作系统允许攻击者根据app数据推断设备的真正主人。
Swinnen是Facebook漏洞赏金计划的主要贡献者之一,他发现了Android设备上的权限访问漏洞,此漏洞可导致app文件夹内的敏感数据泄露。攻击者动用流氓应用,可使安卓机器人发出指令,将正在运行的app的工作目录转换到流氓应用的文件夹中。
安卓权限模型的问题
安卓的默认app权限模型允许攻击者访问目录并执行文件,但没有列出文件夹的内容来发现新建文件或读取任何内容。在这种情况下,app必须知道确切的文件访问路径。
这会打开一些安全漏洞。Swinnen解释道:“然而,值得注意的是,这些目录上现有的文件可以被列成清单,且当文件名已知时其元数据可被收集。”
一个这样的场景是Android版的YouTube app,它使用一个标准的youtube.xml文件,位于/data/data/com.google.android.youtube/shared_prefs/ folder,用来存储app加工过的实时数据。
因为没有阅读权限,一个攻击者会反复列出此文件,反过来得到文件大小和最新的修改日期。由于YouTube在使用过程中每隔几秒就更新一次此文件,一个流氓应用可以监视该文件并知悉何时app或手机正在使用中。
几乎所有app都有类似的文件,存储在其内部结构的其他部分,因而这种攻击可以移植到任何别的app。
暴力破解Instagram,揭晓手机主人的真实姓名
此外,对于使用可预测文件名的app,如Instagram或Facebook,流氓应用会发动强力攻击来揣测这些文件。
在Instagram中此文件是:/data/data/com.instagram.android/shared_prefs/.xml
Facebook中:/data/data/com.facebook.katana/shared_prefs/XStorage-LATEST-.xml.
对于Instagram,用户ID值在0到2500000000之间递增。据Swinnen说,用Nexus 4设备暴力破解所有的Instagram ID只需大约四天。
研究人员甚至创建了一个在安卓操作系统的后台运行的暴力破解脚本,意味着用户无需一直开着流氓应用便可使用。
一旦配对了正确的app文件夹位置里正确的用户ID文件,攻击者会得到手机主人的Instagram ID,某些情况下可能会返回用户的真实身份。
Swinnen去年十二月向谷歌报告了漏洞,谷歌发行Android 7时修复了它。这位研究人员也因出色的漏洞发现得到了500美元的回报。
本文由漏洞银行(BUGBANK.cn)小编柠檬编译,源文译自softpedia.com。
来源:漏洞银行
链接:http://www.bugbank.cn/news/detail/57d3b7af9c24a6160f56fa1f.html
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
扫一扫
2918
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
