5年还未修复的安卓漏洞 还有1.52亿用户

拥有20多亿用户的安卓系统需要守护的设备太多了。但一个存在了5年之久的高危漏洞提醒人们:安卓令人惊叹的开源代码覆盖面也给去中心化生态系统防护带来了挑战

该漏洞由威胁检测公司 Positive Technologies 移动安全研究员 Sergey Toshin 发现,源于 Chrome 和很多其他浏览器的支撑开源项目 Chromium。因此,攻击目标不仅仅是移动 Chrome,基于 Chromium 的其他流行移动浏览器都在打击范围内。更具体讲,凡是带有 WebView功能的安卓机都受到Chromium的支持,用户点击游戏或社交网络中的链接时,WebView 功能可在某种迷你浏览器中加载这些网页,让用户无需离开原应用。利用 Chromium 漏洞,黑客可以用 WebView 劫掠用户数据并取得广泛的设备访问权。

攻击者可对安卓设备上的任意Chromium系手机浏览器发起袭击,包括谷歌Chrome、三星Internet浏览器和Yandex浏览器,从其WebView中抽取数据。

更糟的是,自2013年的 4.4 KitKat 起,后续所有安卓版本都含有该漏洞。4.4 KitKat 是首个可以监听“Ok Google”和在谷歌键盘上纳入表情符号的安卓版本,情况真的很严重。

绝大多数情况下,几乎不可能检测出来。

通过诱骗用户安装含有WebView的恶意软件并利用该漏洞,攻击者可获得对受害者设备最可靠、最持久的访问。但Toshin指出,攻击者还能利用该漏洞获得一些不恰当的设备访问权限,方法就是诱使用户点击通过安卓即时应用( Instant App )功能打开的恶意链接。即时应用功能使用户无需实际安装就能立即执行某应用。这种情况下,攻击者不会拥有持久访问权,但能获得有限的时间窗口来捕获用户数据或其移动账户信息。无论如何,这些攻击方法都悄无声息,毫不引人注目。

今年1月时,Positive Technologies 就将漏洞情况通报给了谷歌,当月末,谷歌就在 Chrome 72 中修复了该漏洞。运行安卓7及其后续版本的设备应可经由通用Chrome更新获得修复,但运行安卓5和6的设备就得通过Google Play安装WebView的特别更新了。开启了自动更新的安卓用户无需多费心神。若未开启,就只有自行安装了。

Toshin和谷歌都表示,没有内置 Google Play 的安卓设备,比如亚马逊Kindle,需要设备制造商发布专用补丁。这正是安卓缤纷多彩的生态系统给设备修复带来的特殊麻烦

谷歌还指出,因为安卓4.4发布已经超过5年,且只运行在一小部分设备上,该公司没有为此版安卓发布补丁。但谷歌自己的数据表明,有7.6%的安卓设备还运行的是KitKat。考虑到20亿用户的总量,7.6%就是1.52亿,比当前版本安卓 Oreo 8.1 的7.5%还多。

谷歌一直在提升其跨设备补丁推送的能力,最小化不同制造商实现导致的障碍。但这方面需要做的工作还很多。且因为安卓应用面十分宽广,世界各地无论贫富与产业差别都在用,现实就是老版本安卓仍将存在很长时间

上一篇:给漏洞打分 介绍一下CVSS与Tripwire的差异

下一篇:一篇文章告诉你伪造来电显示有多容易