安卓系统发现漏洞 所有安卓设备都易受攻击

提示：如果您在寻找Pileup问题的解决方案，我们开发了一款名为“安全升级”(英文版名称Secure Update Scanner)的免费应用，您可以直接从本站下载，也可以在腾讯应用宝，360手机助手，Google Play等应用商店中找到。概览人们倾向于认为系统升级会修复已有的安全漏洞，从而使得安卓设备变得更加安全和可靠

提示：如果您在寻找Pileup问题的解决方案，我们开发了一款名为“安全升级”(英文版名称Secure Update Scanner)的免费应用，您可以直接从本站下载，也可以在腾讯应用宝，360手机助手，Google Play等应用商店中找到。

概览

人们倾向于认为系统升级会修复已有的安全漏洞，从而使得安卓设备变得更加安全和可靠。但是，我们的研究小组对现有安卓升级机制的最新研究表明，情况并非如此。研究发现，一系列安全漏洞使得一些看起来完全无害的应用可以未经用户允许就在升级过程中获得一些至关重要的能力，比如自动获取新版本系统中所引入的所有新的权限(permission)，用恶意应用取代系统应用(system-level apps)，将恶意脚本注入任意网页等等。这一系列安全漏洞被研究者命名为Pileup漏洞（通过升级过程获得未经许可的更高授权)。在安卓系统源码中，研究者总共发现了六类Pileup漏洞，而这些漏洞存在于所有的已有安卓版本之中：经我们确认，所有安卓原生系统以及三星、LG和HTC在全球范围内定制的3522个安卓版本里均存在Pileup漏洞。换言之，这些漏洞正影响着全球范围内的安卓设备，威胁着数十亿安卓用户的信息安全。

这类安全威胁的独特性在于其攻击对象并不针对用户当前使用系统上的漏洞，而是安卓系统升级过程中的漏洞。更具体地说，对于每一个新的安卓版本，谷歌(微博)都会加入很多新的权限或系统应用。而设备厂商拿到这个版本后，会进一步深度定制，加入更多新权限和系统应用。一个起初安装在低版本安卓系统上的应用，攻击者可以巧妙地声明其在高版本安卓系统上才有的权限或者属性。比如，该恶意应用可以在安卓2.3.6上定义一个新的系统权限为android.permission.READ_PROFILE（读取用户个人档案），而这个权限本来在安卓4.0上才会被引入。与此同时,共享用户标识（UID），程序包名(package name)以及其它在安卓4.0上新引入的系统属性也可以被此恶意应用利用。由于这些权限和属性并不存在于低版本系统中（在这个例子里是安卓2.3.6），恶意应用便可以未经用户许可就获得上述资源（自定义的权限、共享用户标识和程序包名等等）。当用户升级到高版本系统上之后，安卓源码中程序包管理模块中的Pileup漏洞将会自动被利用。于是，这个恶意应用将隐蔽地获得相关的系统权限，资源或者能力。在上述例子中，一旦手机被升级到4.0版本，恶意应用将未经用户许可而立刻获得安卓权限android.permission.READ_PROFILE。更严重的是，这个恶意应用还可以成为该权限的拥有者，能够任意设置其保护级别(protection level)以及权限描述(description)。被抢占的共享用户标识(UID)则将允许恶意程序替换诸如Google Calendar之类的系统应用。而对程序包名的恶意抢占则被证明可以用来危害安卓的默认浏览器，比如污染它的cookie、缓存，安全配置和页面标签等等。

这类攻击的严重程度与不同安卓设备上利用机会的多少息息相关。这里，利用机会指目标安卓版本上新引入的资源。比如，一次升级可能导致未经授权的恶意软件获得访问语音信箱、用户密码、通话记录、发给其他应用的通知、发送短信，突破保护开启任意Activity的权限; 恶意程序也可以完全控制新引入的“signature”和“system”级别权限，降低它们的保护级别到“normal”，并且任意改变对这些权限的描述，而这些描述正是用户用来决定是否授予应用这些权限的依据；甚至，还可以用一个恶意应用取代官方的Google Calendar应用，从而截获用户一天中的个人事务列表，向新系统中的安卓自带浏览器的数据目录中注入Javascript代码去偷取用户的敏感信息，或者阻止用户安装诸如Google Play Services等关键系统应用。研究者调查了不同安卓版本、厂商上的利用机会多少。图1比较了当安卓系统从2.3升级到4.0，4.0升级到4.1，4.1升级到4.2，4.2升级到4.3，4.3升级到4.4时，安卓原生系统（没有谷歌定制的安卓版本）、谷歌和三星定制的系统的平均利用机会多少。从图中可以看出，不仅生产厂商会引入更多的利用机会，厂商之间引入的利用机会多少也不同，比如三星就比谷歌引入更多的利用机会。同样有趣的是，虽然当原生系统和谷歌系统的利用机会在2.3升到4.0的时候达到峰值，并且在此以后就有逐渐降低的趋势，但三星系统则并未有类似的改善，也就是说，在后续系统中，仍然大量引入新的被攻击机会。

图 1. 利用机会对比

为了证明利用Pileup漏洞的恶意应用可以上传到当今的主流安卓应用市场上，我们开发了数个此类应用，并且将这些应用成功发布到诸如Google Play、Amazon AppStore、GetJar等应用商店。我们在应用商店批准发布这些应用之后立刻删除了它们。

防御讨论：研究者开发了一款安全应用来保护你

Pileup漏洞极大地降低了安卓设备在升级过程中的安全性，这使得安卓生态圈陷入两难局面。一方面，当用户试图修复安全漏洞时，系统升级至关重要；而另一方面，在系统升级过程中，Pileup漏洞为恶意攻击者攻击安卓用户提供了可乘之机。因此，我们非常确信开发一款专门针对Pileup漏洞的安全应用迫在眉睫。我们把这款应用定名为“安全升级”（英文版名称Secure Update Scanner）。该应用通过扫描用户设备而侦测任何可能利用Pileup漏洞进行攻击的恶意程序，并且为用户卸载此类恶意程序提供帮助。如果扫描结束且没有发现恶意程序，用户就可以放心地升级。

我们建议用户在升级之前安装并运行“安全升级”。一次扫描仅需要几秒钟就可以完成。这个免费应用已经发布在下列安卓市场上

· 腾讯应用宝: http://android.myapp.com/android/appdetail.jsp?appid=10549190

· Google Play (English version): https://play.google.com/store/apps/details?id=com.iu.seccheck

最新进展： “安全升级”(英文名称Secure Update Scanner)应用受到了世界各地安卓用户的信任。截至目前，已经有134个国家和地区的用户安装和使用该安全应用。这些国家和地区是：美国，中国，法国，德国，西班牙，意大利，葡萄牙，英国，波兰，加拿大，瑞士，巴西，比利时，奥地利，泰国，荷兰，澳大利亚，印度，摩洛哥，新加坡，墨西哥，爱尔兰，南非，印尼，马来西亚，阿尔及利亚，瑞典，菲律宾，尼日利亚，罗马尼亚，沙特阿拉伯，挪威，希腊，埃及，丹麦，巴基斯坦，新西兰，洪都拉斯，突尼斯，俄罗斯，阿根廷，伊拉克，厄立特里亚，卢森堡，哥伦比亚，以色列，毛里求斯，厄瓜多尔，阿尔巴尼亚，乌拉圭，布基纳法索，科威特，越南，孟加拉，法属波利尼西亚，保加利亚，土耳其，巴拿马，匈牙利，塞尔维亚，阿联酋，芬兰，摩纳哥，新喀里多尼亚，科特迪瓦，苏丹，捷克共和国，海地，危地马拉，黎巴嫩，韩国，塞浦路斯，斯洛文尼亚，伊朗，克罗地亚，塞内加尔，肯尼亚，斯洛伐克，安哥拉，委内瑞拉，乌克兰，巴林，喀麦隆，留尼旺岛，秘鲁，爱沙尼亚，台湾，波多黎各，香港，加纳，哥斯达黎加，日本，牙买加，吉布提，马达加斯加，斯里兰卡，巴拉圭，巴巴多斯，阿富汗，缅甸，约旦，多明尼加共和国，贝宁，马耳他，智利，卡塔尔，泽西岛，巴勒斯坦，萨尔瓦多，特立尼达和多巴哥，马里，尼加拉瓜，马提尼克岛，柬埔寨，马尔代夫，阿曼，关岛，玻利维亚，立陶宛，佛得角，叙利亚，博茨瓦纳，津巴布韦，圣马力诺，加蓬，冰岛，莫桑比克，布隆迪，科摩罗，埃塞俄比亚，安道尔，老挝，黑山，格鲁吉亚。

除了安装我们的“安全升级”应用外，还有其它一些保护措施可以考虑，其中之一就是确保只从可信的应用商店比如Google Play下载应用程序。需要注意的是我们不能确定谷歌是否可以阻止所有的恶意程序。因为根据本文第四段所描述的测试，谷歌居然批准了一些我们提交的恶意应用程序（获得批准后，我们立即删除了这些应用）。另一种保护方法是安装一个通用的反病毒安全软件，如360手机卫士，腾讯手机管家等。然而，由于Pileup漏洞是一类全新的问题，这些通用的安全软件是否能够准确地检测相关的恶意程序还未可知。我们从全球几千个不同的安卓版本中提取相关信息，组成一个有两百万条记录的数据库，将用户手机上的应用与这些数据记录做详细比对，从而确定是否有恶意程序存在。我们不认为通用安全软件在短时间内可以获得同等检测能力。

漏洞报告

2013年11月14日我们向谷歌报告了此六类安全漏洞。2014年1月8日，我们获知谷歌已经为六类漏洞中的权限侵占漏洞（内部跟踪编号：11242510）发布了一个补丁。我们目前尚并不明手机制造商们发布补丁的日期，如若获知，会在这里更新此信息。同时，谷歌也为我们报告的其他五类漏洞创建了跟踪号码，但是并未确定向生产厂商提供补丁的时间。众所周知，安卓生态系统落实更新缓慢。如发布于2013年10月31日的安卓4.4，在发布后的四个月内仅获得市场份额的2.5%。基于这点，我们认为修复Pileup漏洞的补丁并不能在短期内真正到达用户设备。