安卓应用可绕过谷歌“保镖” 变为恶意软件

7月23日 国际报道:据一位网络安全研究人员于7月20日称,他们在测试谷歌为安卓应用软件推出的“保镖”恶意软件检测系统时,成功登陆了一项良好的应用软件,然后慢慢地刷新它,并将恶意功能加入其中。

  下周,黑帽安全大会(Black Hat)和Defcon安全大会将在拉斯维加斯召开,届时,Trustwave's SpiderLabs主管尼古拉斯·柏库克(Nicholas Percoco)和他的同事肖恩·舒尔特(Sean Schulte)会以“Bouncerland中的风险”为题,在会议上探讨他们的研究。

  图片:Trustwave's SpiderLabs主管尼古拉斯·柏库克(Nicholas Percoco)在不触发恶意软件检测系统的情况下,成功将好的安卓应用转化为恶意软件。

  今年二月份,谷歌正式推出“保镖”系统,用以保护谷歌安卓市场的应用软件。之后,研究人员想知道他们能否将一项属于“保镖”系统的良好应用软件,在不触发“保镖”恶意软件警报系统的情况下,转换成恶意软件。如今,他们成功了。

  首先他们创建了一个应用软件,称之为“短信拦截”,目的是允许用户拦截来自特定个体的短信。一旦这个应用软件在安卓市场中并可供公共下载,研究人员便将它更新11次,向其中添加与短信拦截毫无关系的附加功能。但是每一次更新都未触发谷歌“保镖”,因为研究人员使用了一项障眼法,隐藏了对应用软件功能的转换。据柏库克表示:“我们使用了一项技术,蒙住了‘保镖’的‘眼睛’。”

  虽然他们到下周才能够证实,但是该应用软件已经开始作为一件简单的短信拦截工具被使用,并不断地被增加更新次数,获取设备中的各种资料,甚至可以将手机转化成一个“僵尸”,供分布式拒绝服务(Distributed Denial of Service,简称DDoS)攻击使用。

  据柏库克称:“我们拥有的终极版本,可以抢断所有终端用户的照片、通讯录、通话记录及短信,我们甚至可以拦截一部设备,并指挥它访问恶意网站。这项终极功能可以让我们为一部手机设备定位目标,并发动DDoS攻击目标。”

  最后,研究人员更新了“短信拦截”应用软件,并除去了隐藏其恶意功能的技术。那一刻,“保镖”检测到了该应用软件,并将其作为恶意软件清除出安卓市场。

  下周,柏库克会在他的讨论中证明该应用软件是如何停留在安卓设备中将手机信息拦截,并利用它在一个测试网站上发起一次DDoS攻击。据柏库克称,该应用软件仅被下载到了这一部设备上,因为他为它的定价要远远高于市场上其他短信拦截软件。

  据柏库克表示:“如果其他开发人员得知这项‘蒙面把戏’,我们可以预见,其他的安卓应用软件会化为我们的‘分身’,宣称‘你们现在所信任的应用软件在未来的某一天会变成恶意的’。因此,对能够映射和下推到终端用户设备的许可和控制权,我们需要更严密的保护。”举例来说,如果设备检测到一项应用软件正在运行它原本不使用的功能或任务,就会立刻阻止其运行。他继续说道:“我们需要能够多管齐下的方法,来对付这些设备上的恶意软件,而不仅仅是使用预报单中的自动化工具。”

  据柏库克称,他们的研究人员已与谷歌取得联系,并会在下周召开的安全大会上与安卓的研究人员就此进行讨论。

  谷歌未就此置评。

  柏库克称,在这之前,研究人员就已能够通过外壳访问绕过“保镖”,而且安卓市场中一直存在未被检测到的恶意软件,但都要求用户交互后才会起作用。最近的这项研究并不需要用户交互,并通过合法访问利用“保镖”中存在的漏洞。

推荐阅读