安卓最新版漏洞:把恶意软件隐藏在图片里
作者:星期四, 十月 23, 20140

一种新型技术允许攻击者把恶意安卓应用隐藏在图片中,以逃避防病毒程序的检测和谷歌商店本身的恶意软件扫描器。

两名安全研究人员Ange Albertini和Axelle Apvrille上周在欧洲黑帽大会上,发布了这种技术的概念性验证。Albertini用自己的名字命名这种技术,称之为“Ange加密”。该加密技术 利用某些文件格式的特点,控制使用AES算法的文件加密输入输出操作,在把恶意数据插入文件的同时保持原文件的有效性。

Ange加密基于Python脚本执行,用户可以选择一个输入文件和一个输出文件,然后做一些必要的设置,当输入文件使用指定密钥进行AES加密时,就可以产生用户想要的输出文件。

这种技术思路可以进一步应用到安卓应用程序包中。Apvrille和Albertini开发了一个概念验证式的APK(安卓程序的安装包),可以显示一张星 球大战天行者的照片,该照片为PNG格式。然而,这个APK还可以用特定密钥给图片加密,最终生成第二个隐藏的APK文件。这个APK文件可以是又一张照 片,当然也可以是盗取短信、照片、联系人或其他数据的恶意程序。

为了实现攻击,需要在原始程序的末端附加一些数据。但APK格式的文件有一个名为EOCD(中央目录终止)的标志符,以防止在文件的末端添加数据。但研究人员发现,如果在添加数据的后面再加一个EOCD,安卓系统就会接受该文件的有效性。

该攻击方法在安卓最新的版本4.4.2中有效,但安卓安全团队已经注意到这个漏洞,并在着手开发补丁。

由于安卓生态系统的碎片化,尤其是在固件更新方面,许多安卓设备将在很长一段时间内受到这个漏洞的威胁,因此恶意软件的制作者有充足时间来利用它。

Aprille表示,尽管安卓的安全补丁更新的分发状况已经比三年前好了很多,但这个漏洞很可能会活跃一到两年的时间。(关注“信息安全知识”,回复“隐藏图片”获得该漏洞概念验证代码的地址

---

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛!

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章