51工具盒子

依楼听风雨
笑看云卷云舒,淡观潮起潮落

针对Android沙盒的“中间APP攻击”

针对Android沙盒的“中间APP攻击”_https://www.tiejiang.org_渗透注入_第1张

Android for Work是Android的"沙盒"机制,它的目的是安全地存储企业资料。然后最近来自Skycure 的安全研究人员发现,Android for Work可以通过一种"中间app攻击"的方式被Hack。

这个Android work模式其实就是遵从BYOD(Bring Your Own Device)理念的产物,BYOD指的是携带自己的设备办公。Android for work从Android 5.0 Lollipop版本引入,就是为了将个人的Android设备变成公司环境,将个人环境和企业环境隔离开来,其中企业环境是由IT管理人员进行管理的。

Android for Work会将所有涉及企业的app、邮件和文档存储在企业profile中,但是不会对个人profile有所限制,这样用户的隐私就被保护了起来,因为IT管理员们无法管理监控他们的个人app。这个功能是使用了用户分离的机制。

Skycure的研究人员称,他们发现了两种"中间app攻击",能够让个人profile里的恶意软件访问到企业档案中的数据。两种攻击方式利用的都是安全链条中最薄弱的环节------人。两种攻击方式都需要用户交互。

攻击方案一

第一种攻击方案是个人档案的恶意应用诱导用户开启读取通知权限。由于通知权限是设备级别的权限,恶意应用就可以读取到工作档案中的通知,可能包括日历、邮件消息等通知。之后,恶意应用可以把收集到的信息传输到C&C服务器等。

专家称,黑客可以在一些企业系统上开启一个"忘记密码"的进程,然后劫持设备通知,从而获取到完整的企业权限。通过忽略通知以及利用Android通知API"存档"恢复邮件,攻击者可以让用户察觉不到攻击。

"由于EMM [企业移动管理]解决方案没有机制来识别或防御,因此这对使用Android for Work作为安全沙盒进行移动办公的用户们存在严重威胁。 攻击者甚至可以捕获双因素身份验证,而管理员不会察觉,"Amit说。

该公司还发布了视频演示这种攻击。

攻击方案二

第二种攻击方式利用的是Android的辅助功能。辅助功能是为了增强用户交互的。由于这个功能"实际上能够访问到所有内容和控制,包括在设备上读取和写入",因此,个人档案中的恶意软件能够读取到沙盒内运行的应用。不过要开启"辅助功能",必须要让用户打开开关。

根据安全公司的说法,Android工程师们已经实现了一个API,这个API用于将辅助功能加入白名单EMM供应商可以在其Android for Work管理界面中使用。但公司指出,通过与白名单合法应用程序包名称相同的恶意应用程序可以绕过该API。或者黑客可以通过欺骗用户打开辅助功能来达到目的(非系统辅助服务需要被添加到白名单)。

视频演示

Skycure称,已就这一问题与Android团队取得了联系,但经他们的调查认定上述应用程序行为是有意为之,并非安全漏洞。不过他们同意公开调查结果,"以提高安全认识"。由于两种攻击手法都需要用户操作,如果有一定的安全意识,就可以进行防范。与很多安全问题一样,这是用户体验与安全的平衡问题。

赞(0)
未经允许不得转载:工具盒子 » 针对Android沙盒的“中间APP攻击”