移动安全公司Lookout的研究人员周一表示,估计有80%的Android手机包含一个最近发现的漏洞,该漏洞使攻击者可以终止连接,并且如果不对连接进行加密,则可以将恶意代码或内容注入双方的通信中。
正如Ars 上周三报道的那样,该漏洞最初出现在2012年引入的Linux操作系统内核的3.6版中。Lookout研究人员在周一发布的博客中说,Linux漏洞似乎已引入Android 4.4版中(又名KitKat),并且在所有将来的版本中仍然存在,包括Android Nougat的最新开发人员预览。统计数据提供商Statista的报告表明,该数字是基于Android的安装基础而来的,这意味着约有14亿个Android设备(约80%的用户)易受攻击。
监视研究人员安德鲁·布莱奇(Andrew Blaich)告诉Ars:“ tl; dr供Android用户使用,以确保他们通过使用VPN对通信进行加密,或者确保访问的站点已加密。” “如果有他们不想追踪的地方,请务必确保已加密。”
该漏洞使具有Internet连接的任何人都可以确定是否有任何两个方面正在通过长期的传输控制协议连接进行通信,例如为Web邮件,新闻提要或直接消息提供服务的协议。如果未对连接进行加密,则攻击者可以将恶意代码或内容注入流量。即使对连接进行加密,攻击者也仍然可以确定存在信道并终止该信道。该漏洞分类为CVE-2016-5696。
漏洞利用可能针对Android用户的一种可能方式是让他们将JavaScript插入不受HTTPS加密方案保护的合法互联网流量中。JavaScript可能会显示一条消息,错误地声称用户已退出帐户,并指示她重新输入用户名和密码。然后将登录凭据发送给攻击者。类似的注入攻击也可能试图利用目标Android用户正在使用的浏览器,电子邮件或聊天应用程序中未修补的漏洞。
为了使攻击有效,对手必须首先花费大约10秒钟的时间来测试两个特定的参与者(例如已知的Android用户和《今日美国》)是否已连接。然后,又需要45秒钟左右的时间,才能将恶意内容注入其流量。所需的时间可能使得进行袭击大量人员的机会主义攻击不切实际。不过,该技术似乎非常适合有针对性的攻击,在这种攻击中,攻击者(例如,跟踪者或国家支持的监视机构)正试图感染或监视特定的个人,尤其是当黑客知道某些受攻击者经常访问的站点时目标。
一位Google代表说,公司工程师已经意识到了该漏洞,并“采取了适当的措施。如本文所述,该代表指出该漏洞存在于Linux内核的易受攻击的版本中,而不是特定于Android的。可以说,Android安全团队对它修补的许多漏洞的风险评级为“中”,而不是“高”或“严重”风险。Linux内核的维护者已经对CVE-2016-5696进行了修补。如果该修复程序在下个月左右集成到新的Android版本中,就不足为奇了。