黑客可以在你的Android设备上远程安装恶意软件应用
相关标签: # 漏洞# 研究# 脚本# 技术# 账户
托德·比尔兹利,技术负责人Metasploit框架at Rapid7警告X-Frame-Options(XFO)漏洞–;当与最近的Android WebView(Jelly Bean)缺陷结合使用时–;为黑客提供了一种方法,可以在没有用户同意的情况下,将Play store中的任意应用悄悄安装到受害者的设备上。
受影响的用户
该漏洞影响到运行Android 4.3版Jelly Bean和Android早期版本的用户,这些用户不再从Android security team for WebView接收官方安全更新。WebView是用于在Android设备上呈现网页的核心组件。此外,安装了第三方浏览器的用户也会受到影响。
据研究人员称,Android 4.3及之前版本中的web浏览器易受通用跨站点脚本(UXSS)攻击,而Google Play Store易受跨站点脚本(XSS)攻击。
通用跨站点脚本漏洞
在UXSS攻击中,在web浏览器或浏览器扩展中利用客户端漏洞生成XSS条件,从而允许执行恶意代码,绕过或禁用web浏览器中的安全保护机制。
"这些平台的用户可能还安装了易受攻击的售后浏览器,“比尔兹利在周二的一篇博客文章中解释道。”在谷歌Play store XFO[X-Frame-Options]缺口得到缓解之前,习惯性登录谷歌账户的这些网络应用程序用户将仍然容易受到攻击。"
本月初,在所有最新版本的Internet Explorer中发现了一个通用跨站点脚本(UXSS)漏洞,允许恶意黑客将恶意代码注入用户网站,窃取cookie、会话和登录凭据。
安全研究人员用JavaScript和Ruby代码演示了这个问题,这些代码可以从玩谷歌。通用域名格式可以在不使用适当的XFO头的情况下生成域。
METASPLOIT模块是公开的
一个Metasploit模块已经创建并在Github上公开,以帮助企业安全董事会测试企业发布的智能手机是否存在该漏洞。根据该建议,远程代码执行是通过利用受影响的Android设备上的两个漏洞实现的:
- 首先,该模块利用Android开源股票浏览器(AOSP浏览器)以及4.4(KitKat)之前的一些其他浏览器版本中存在的通用跨站点脚本(UXSS)漏洞。
- 其次,谷歌Play商店的网络界面未能强制执行X帧选项:拒绝一些错误页面上的标题,因此可以作为脚本注入的目标。因此,这将通过Google Play的远程安装功能实现远程代码执行,因为Google Play商店上的任何应用程序都可以在用户设备上安装和启动。
如何防止暴露
- 使用不易受众所周知的UXSS漏洞影响的web浏览器–;比如谷歌浏览器、Mozilla Firefox或Dolphin。这有助于缓解该剧缺少通用X-Frame选件(XFO)的问题。谷歌。com域。
- 另一种有效的方法是直接注销Google Play store帐户,以避免该漏洞,尽管大多数用户不太可能采用这种做法。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
