科技猎安卓曝“寄生兽”漏洞,BAT的App受感染
360手机 安全研究团队vulpecker team近日向补天漏洞响应平台提交了其发现的安卓app新型通用安全漏洞“寄生兽”,市面上数以千万的APP受该漏洞影响,包括百度、腾讯、阿里等众多厂商的移动产品。
寄生兽是日本作家岩明均创作的漫画《寄生兽》中的一种怪物,初始形态是一种虫子,会钻进生物的体内并夺取大脑,因人类严重的环境污染而诞生。vulpecker team以此命名该漏洞,可见此漏洞的危害之大。一旦该漏洞被攻击者利用,可直接在用户手机中植入木马,盗取用户的短信照片以及银行、支付宝等账号密码等。多名业内人士评价,按照风险评估,该漏洞的经济价值难以估量。
北京安赛创想安全能力中心主任张傲向雷锋网表示,目前漏洞细节还没有被公布,不过按其公布的视频推测,安卓程序如果没有验证当前进程的文件签名,或没有对进程间的内存读写权限进行控制,第三方恶意程序就可以通过链接库文件劫持或进程注入、修改wifi数据等的方式修改程序行为及通信数据。张傲表示,因为是通用型的漏洞,90%以上的应用都受影响。不过,如果用户加强自我防护的意识并作出行动,将不会受到攻击。
张傲对用户提出的建议是,不要接入不安全的公众wiffi,或通过正规渠道下载应用程序,可以避免遭到损失。而对于开放商,则应对程序文件进行签名验证,并对网络间的交互数据进行校验,可以避免受到攻击。
目前补天平台已经将相关详情通知给各大安全应急响应中心,并敦请厂商收到详情及时自查,如果自家app存在相关安全问题,需及时修复。另外,为了奖励该通用漏洞的白帽子团队补天平台向其发放了1万元奖金。
为了证明漏洞危害的严重性,vulpecker team选择了三类代表性的app验证漏洞,并发布了验证视频:
浏览器类app:UC浏览器;
