“寄生兽”APK缓存劫持漏洞的核心有两点,一是软件开发者没有考虑odex的安全问题,另外是没有对zip解压缩时的恶意文件名做检测,所以防护上也应该从这方面做考虑。
由于安卓自身的安全缺陷,使其没有对odex进行强校验,所以会导致黑客对驻留在系统缓存里的odex文件注入恶意代码。临时解决方法就需要软件开发者舍弃部分APP快速启动的特性,每次启动APP时先清空系统缓存里旧的丶可能已经被病毒感染的odex文件,然后加载新的丶没有被病毒感染的odex文件。
APP在加载基础模块(比如APP皮肤文件等)时,默认所加载的zip文件是安全的,所以没有安全扫描丶验证程序,这使得黑客可以藉此感染并潜藏到zip里,当APP进行解压缩操作时,可以趁机进入APP内部,实现感染入侵。
利用该漏洞的攻击者可以直接在用户手机中植入木马,盗取用户的短信照片等个人隐私,盗取银行丶支付宝等账号密码等。目前补天已经将相关详情通知给各大安全应急响应中心,并敦请厂商收到详情及时自查,如果自家APP存在相关安全问题,需及时修复。
多名业内人士评价,按照风险评估,该漏洞的经济价值难以估量。
文章TAG:APP 漏洞 安卓
