黑客安全大会在拉斯维加斯举行
凤凰科技讯 北京时间8月5日消息,据科技博客PCWorld报道,在拉斯维加斯举办的黑客安全大会(Defcon security conference)上,专家指出,谷歌安卓平台内置的一键谷歌授权功能允许用户在谷歌网页上、无需重复输入密码即可登录各种应用,这使得谷歌账户面临被流氓软件(rogue apps)攻击的风险。
这种功能俗称为“网页登陆(weblogin)”,通过产生一个固定的代理、直接利用在设备上已授权的账户登录谷歌网页上的应用。安全公司绊网(Tripwire)的研究员克雷格•杨(Craig Young)表示,网页登陆能提供更好的用户体验,但其却对用户个人的谷歌账户、以及谷歌应用商城账户造成潜在隐私和安全威胁。杨还展示了黑客如何利用一款流氓软件偷取用户的网页登陆代理、随后将其发回给黑客,使其能够利用这些账户侵入用户的网页浏览器、以获取该用户在谷歌应用商城、电邮、云盘(Drive)、日历、声音(Voice)以及其他谷歌服务上的信息。
杨所展示的这款流氓软件伪装成一款在谷歌Play上发布、可观看谷歌财经的股票查询应用。在安装此款应用时,其将询求用户同意以便获得直接接入设备账户、并通过此账户直接联网。在运行时,这个应用又将再次寻求用户同意、以便能够利用网页登陆功能接入URL——其中包括谷歌财经的网站finance.google.com。这第二个步骤看似并未提供实质信息,故大多数用户都会同意接受。而一旦用户同意,一个网页登陆的代理就会生成,用户便能自动登入谷歌财经的网站。与此同时,这个代理也将通过一个加密的连接被虹吸出来至黑客的服务器。
杨表示,更关键的问题在于,这个网页登陆的代理并不仅仅能登陆谷歌财经,其能够登陆所有谷歌所提供的服务。比如说,其能够让黑客进入用户的谷歌硬盘获取资料、通过电邮发邮件、在日历应用中编辑日程、接入谷歌网页搜索历史、或是存放在谷歌应用商城额敏感性的公司数据。其同时也能够接入用户在谷歌Play上的账户,并远程在用户设备上安全应用、或是在支持谷歌联合登陆(Google Federated Login)的第三方网页上登陆。
如果用户是一个公司谷歌应用商城域名的管理员,这样的攻击将会影响到该公司整蛊谷歌应用商城的运营。黑客将能够重设域名密码、创造或修改全线、邮件列表、甚至是管理者。据杨称,这样的潜在威胁已经于今年2月反馈给了谷歌,其已开始禁止一些黑客攻击后可以运行的权限。比如说,入股偶一个黑客通过网页登陆代理获得授权,其不能使用谷歌外卖(Google Takeout)服务来获得整个谷歌账户的权限,也不能增加新的谷歌应用商城用户——尽管仍旧有些方法使得后一种禁令变得无效。
杨利用其设计的应用程序展示了网页登陆代理能够很快生效,因为其采用了标准安卓API(application programming interface,应用程序界面)来获得这个代理。然而,如果应用程序利用漏洞来获得设备的根权限,其将能够在不经用户确认的情况下直接获得这个代理。研究员表示,这样的流氓软件很可能在谷歌Play里面潜伏一个月——直到有人将其视为恶意软件报告给谷歌,但在此期间,谷歌Play搜索恶意应用的服务Bouncer并不能探测出该流氓软件。即便其能够探测出该软件,Bouncer也不会将其报告为恶意软件,这就给Bouncer的有效性带来了挑战。
在这种流氓软件被报告为恶意软件之后,谷歌Play就会将其移除。如果用户仍旧尝试安装这款软件,安卓本地应用认证功能则会将其视为后门程式而屏蔽。大部分安卓防毒产品无法侦测出杨所展示的这款软件为木马程序,仅有一个私人咨询软件将这个流氓软件报告为能够接入账户的软件。
防毒厂商比特凡德(Bitdefender)的首席安全策略师亚历山德鲁•卡特琳•柯索依(Alexandru Catalin Cosoi)表示:“杨今日的演讲展示了,只要有足智多谋、肯下功夫,你便能轻易的侵入看起来保护的很好的系统。”柯索依认为,唯一能够阻止系统被侵入的方法就是增加攻击的难度,以使得第一层锁被破解之后还有一个新的锁摆在面前。弱点是经常能被找到的,所以持续性的研究毫无疑问能够提升诸如谷歌Bouncer这样的系统,使得黑客要攻击需付的代价更大。
杨称,企业不允许其IT管理员在他们的安卓设备上使用谷歌账户。而用户也应该警惕那些要求账户授权的应用,且对于要求采用网页登陆等方式的请求说“不”。谷歌应增加一个选项,允许谷歌应用商城域名所有者阻止利用网页登陆的方式接入谷歌应用商城。同时,谷歌也应使得网页登陆的请求涵盖更多的信息,使得用户清楚地知道他们的权限何在。(编译/雪婷)