在黑帽安全大会今天上午,阿德里安路德维希,谷歌的Android安全首席工程师,安抚有关的恐惧最近的Android怯场漏洞据报道影响了近10亿Android设备。
对怯场的脆弱性的兴趣激增是由美联储促成的黑帽安全会议在拉斯维加斯举行。它开始于Joshua Drake——Zimperium的安全分析师,他发现了这个漏洞——在推特上宣传他的漏洞黑帽子谈话他指着自己在会议日程上的位置说。在推特发布几天后,德雷克发出了一个采访有关怯场漏洞美国国家公共广播电台(NPR)报道。随后,《福布斯》(Forbes)、《财富》(Fortune)和《连线》(Wired)杂志都报道了此事,科技博客圈也随之涌现出大量相关报道。
德雷克曾报道四月的漏洞谷歌。As Drake told NPR, “Within 48 hours I had an email [from Google] telling me that they had accepted all of the patches I sent them, which was great." Drake also confirmed Google’s assessment, stating “[he] does not believe that hackers out in the wild are exploiting it.”
计算机安全行业的成员遵守负责任的披露政策,在该政策下,漏洞是保密的,让软件供应商有时间修补它。行业成员也有社会责任披露漏洞,如果他或她认为风险很大,或供应商没有及时修补它。
[相关:黑帽2015:破解任何东西]
根据谷歌的路德维希的说法,当怯场的消息第一次传出时,与其他媒体报道的相反,90%的Android设备都使用了一种叫做“缓冲溢出”的技术来保护地址空间布局随机化(本)。据报道,谷歌的短信应用Messenger利用了Stagefright漏洞,该应用将进行更新,以降低向视频中注入有害代码的风险。
谷歌还通过电子邮件确认,该漏洞“在实验室设置的旧Android设备中被发现,据我们所知,没有人受到影响。”
路德维希说,从今天开始,这个修复程序和进一步的安全措施将被推广到所有的Nexus设备上,谷歌已经将修复程序发送给了公司的合作伙伴。路德维希说,许多最流行的Android设备将获得在八月更新。
今天的更新标志着Nexus设备每月例行的空中更新(OTA)的开始,这些更新纯粹关注于安全,以保证用户的安全。谷歌的合作伙伴每月都会收到相应的源代码更新,并将其包含在类似的OTA更新中。
缓冲区溢出是什么?
而Android怯场漏洞落入传统的缓冲区溢出攻击的范畴。缓冲区溢出攻击长期以来一直使用的不良行为者攻击各种计算设备的主食。他们已经经历了由大学和商业安全研究人员经过大量研究,许多不同的防御已经制定。
stackexchange.com网站上的一篇帖子描述了Android怯场的问题:
“[I]吨看来,在3GPP视频元数据的某些字段易受缓冲区溢出攻击。简而言之,3GPP视频可以被给定元数据的字符串的是,在第一,超过一定的长度,并在端部包括机器代码,在存储器的土地是禁地给应用程序。”
通常,缓冲器溢出攻击将数据写入存储器中,直到它溢出到用于执行代码的存储器位置。在这种情况下,当通过默认的Android MMS和环聊即时通讯应用接收的污染带有恶意代码的视频出现此缓冲区溢出。默认情况下,该视频在抵达自动下载。该漏洞是在Android 2.2的推出了怯场的媒体框架,支持本地文件播放和HTTP渐进式流而得名。
谷歌预警系统
谷歌监控所有Android设备和谷歌Play Store上的潜在有害应用程序在Android生态系统的恶意攻击的早期预警就像美国疾病控制中心(CDC)监测疾病爆发的方式一样。
[相关:惠普:100%的智能手表都有安全缺陷]
在谷歌的早期预警系统的心脏是验证应用,一个模块,检查应用程式,恶意软件和运行数以亿计的病毒扫描一样,每天搜索的代码和应用程序行为,可能是恶意的安装。这让谷歌(如CDC)比例应对威胁。
德雷克报道称,恶意代码感染由Messenger应用程序会自动下载的视频可以被执行。谷歌的路德维希在后指出,他的Google+专页,只是因为恶意代码可以隐蔽地写入到内存并执行并不意味着它可以造成伤害,由于许多防御现代操作系统具有防止缓冲区溢出攻击 - 如ASLR。
尽管有这些防御和谷歌的报告说,没有任何消费者的智能手机中已经检测到利用该漏洞的,不减少其严重性;路德维希告诉NPR,他位列其严重程度是“高”的谷歌安全团队的层次沉淀今天上午的公告。
Android是否带来了内在的风险?
该漏洞确实下划线Android的开源策略的缺点。开源的方法成功的Android的广泛扩散创造一个庞大而多样化的生态系统硬件制造商。准时化(JIT)编译和Android运行时(ART)有可能使Android和所有的应用程序在没有谷歌的Android开发团队的参与,在许多不同的硬件设计运行。
不过,除了通过谷歌Play Store销售的Nexus移动设备外,谷歌不能通过无线方式直接升级Android。谷歌依赖于硬件制造商更新设备,反过来,有时硬件制造商也依赖于移动运营商来完成更新。相比之下,苹果可以更快地更新设备,因为它控制着所有的硬件和软件。这是否意味着Android面临着更大的安全漏洞风险?我们不知道。Android是一个开源项目。安全研究人员和网络犯罪分子出于不同的原因阅读源代码——一个是为了保护,另一个是为了破坏。Android的利用受到了很多关注,因为它的开放性为商业和学术安全研究提供了很好的题材。其他平台,比如iOS,就没有那么容易访问,所以它们不会经常被讨论。
但没有人知道三种不同的移动平台:iOS、Android或Windows 10 mobile的相对安全性。自从2013年的病毒公告会议以来,谷歌一直在报告Android恶意软件。从今年开始,谷歌开始全面、定量的报告Android的安全性。的Android的安全2014年度回顾[pdf]分析了Android漏洞利用的频率和类型,并指出只有不到0.15%的使用谷歌游戏商店的设备安装了任何可能有害的应用程序。苹果和微软没有报告影响其平台的漏洞,因此无法进行比较。
这篇文章,“Android是否受到了怯场?”最初发表于首席信息官 。
