安全专家Jay Freeman发现Android 4.4的另外一个Master Key漏洞,该漏洞允许攻击者绕过签名验证和恶意代码检测,在合法应用中注入恶意代码。
“Android Master Key漏洞”最早于去年7月被发现,几乎99%的设备会受到影响。Master Key漏洞允许攻击者修改任何合法、经过数字签名的应用,注入恶意代码以盗取敏感信息、获得设备的远程执行权限。
该漏洞由Bluebox Labs发现并披露,该问题Google将在稍后的Android 4.3 Jelly Bean版本中修复。Google已经修改检测策略,避免Play Store上的应用被恶意代码修改并提交。
2013年7月,中国的安卓安全小分队也披露了该类似漏洞。
如今Google发布了Android 4.4系统并命名为KitKat,承诺该版本的系统具有更好的安全性、并修复了所有的Master Key漏洞——然而事实证明安全不是绝对的。
安全专家Jay Freeman(同Cydia的开发者Saurik齐名)表示,同样的Master Key漏洞存在于Android 4.4 KitKat系统中,并发布了Python版的exp来演示漏洞的利用。
“昨晚Android 4.4的代码已经更新到AOSP,修复了另个数字签名验证的漏洞,编号 #9950697,虽然这一次漏洞没有之前的严重,但是已经足以通过技术来实现利用。在这篇文章里,我会展现如何通过Python来编写利用程序。”
(译者注:不好意思,原文贴的exp也是张图片)
该漏洞与安卓安全小分队披露的漏洞相似。每个应用都必须由开发者添加自签名证书进行验证,安卓的应用程序管理器决定程序能否共享信息、获得相关权限,并验证开发者的签名。
“即使系统软件是由制造商签名的,具有相同签名证书的系统软件可以做任何事。一般来说,除非你是厂商,才可以做到这点。但通过利用#8219321漏洞,任何人都可以窃取这些证书签名” “这就导致了一个风险,外部的第三方应用具有跟你一样的签名证书。当你在安装一个你认为无害的游戏时,这个看似由你们厂商发布的应用却获取了系统权限。” “该漏洞涉及Android应用如何加密验证与安装、修改代码但不影响签名。”
该EXP在不影响签名的情况下通过修改应用程序安装包,从而安装到系统中并获得所有的权限和数据。
尽管目前还没有在Google Play商城中发现利用该漏洞添加恶意代码的程序,未发现有Android用户受到该漏洞的危害,建议不要到非官方商城下载应用。