“Shadows Everywhere”是一种合作攻击模式,一个存在在所有安卓设备中的一个影子漏洞,利用它能够攻击任何APK,并且不改变其证书签名,进而能够进行正常传播和升级替代原官方原始应用。
Shadows Everywhere漏洞需要2个实体的相互协作:“Shadows” apk和“Igniter” apk。前者可以是任意的合法apk,例如从Google Play下载的合法应用,然后通过对/META-INFO文件夹的内容做修改/代码插入等操作,将隐藏代码“Shadows”包含其中;后者是攻击者构建的特定apk,将代码点燃器“Igniter”包含其中。需要指出的是,“Shadows” apk由于没有破坏其原始证书公钥和数字签名,它仍然可以和正常的合法应用一样安装,使用,乃至升级(包括从已有旧应用升级和升级到最新应用)。
由于Android设计上的小缺陷,/data/app、/system/app、/system/priv-app这三个文件夹均提供了读权限给任意的用户,不需要root权限。因而,在同一个设备中,“Igniter” apk可以任意访问这三个文件夹里面的“Shadows” apk中的内容。这就使得,“Igniter” apk可以调用并执行“Shadows” apk中的隐藏代码。
协作攻击的特点是,当“Shadows” apk和“igniter” apk两者单独存在时,完全无害,大部分的安全软件根本无法察觉;而当两者碰在一起的时候,所造成的危害将是无法想象的灾难。
“Shadows Everywhere”攻击流程
协作攻击步骤,可以分为3步:
1 将隐藏炸弹代码插入正常的apk中,使其成为“Shadows”藏身的apk。
2 通过正常的应用安装/升级过程,“Shadows” apk能够成功地打入移动设备内部,成为“in-device” apk。
3 通过第三方应用“igniter” apk,调用隐藏在设备中的“Shadows”,最终引爆整个设备,对手机/用户造成无法估量的危害。
大规模的攻击模式可以采取:
– 从Google Play上下载尽可能多的合法应用apk,然后往其中插入恶意Shadows代码。
– 将修改过的“Shadows” apk重新发布到第三方市场或是论坛上,尽可能地广泛和快速。
– 发布一款自己开发的正常应用,在主执行代码中添加一句“Shadows”点燃代码。
漏洞危害与防护
“Shadows Everywhere”是一种攻击模式,其危害与防护同“炸弹爆炸”漏洞。
攻击者可以往任意的合法apk中(例如Youtube.apk, Twitter.apk等)插入恶意代码,并且不影响该apk的正常安装、运行与升级。然后,攻击者通过各种手段发布感染过的apk,假以时日,你的手机设备中可能会种满了各种各样的代码炸弹,而不自知,该过程可理解为“广撒网”;接着攻击者可以使用一款单独的点燃器apk,去引诱用户下载安装,去引爆手机中已被植入的代码炸弹,可理解为“多捞鱼”。
– 任意恶意代码可以植入apk中,通过安装/升级带入你的手机。
– 在没有“点燃”之前,代码炸弹能够填满你的手机,静静地等待“点燃器”的点火。你永远不知道你的手机中到底有多少不为人知的恶意代码。
– “炸弹”和“点燃器”,单独存在时,两者都完全无害,因而可以躲过大部分的安全工具检测;但当两者碰到一起时,所产生的巨大危害是无法估量的。
– 本文中提到的“Shadows”,并不局限于具体的某一个或某一种木马病毒等,几乎可以囊括所有的恶意行为:隐私窃取、短信电话监听、密码账号盗取、网络钓鱼、远程执行、手机控制……
防范措施亦同“炸弹爆炸”漏洞:
普通用户:
在安全的应用市场进行应用下载,防止恶意应用对系统漏洞的利用。
对手机常作备份,若发生APP不能用等现象,可以通过安全备份进行恢复。
尽量不要ROOT自己的安卓手机,ROOT之后,软件权限过大,可以直接利用漏洞。
使用官方网站来升级系统应用。
应用开发者:
为用户提供相对安全的升级通道。
SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道,是网络安全传输的加密通道。关于更多SSL证书的资讯,请关注GDCA(数安时代)。GDCA致力于网络信息安全,已通过WebTrust 的国际认证,是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。
领取优惠
提交成功!