近日,安卓手機被曝出存在名為“寄生獸”的通用型安全漏洞,市面上眾多手機應用程序都可能受到這個漏洞影響,特別是購物時,用戶的銀行、支付寶等賬號密碼等信息很可能被盜。
圖一:央視曝光手機“寄生獸”漏洞
寄生獸”是何方“神獸” 據有關專家介紹,漏洞原理是由于安卓應用的升級都需要重新安裝程序,為了避免頻繁升級給用戶體驗和開發都帶來了不便,所以現在市面上的app大都使用插件機制來做到無縫升級和擴展功能,APP只需要引入相應的插件文件即可完成升級。但這種做法卻隱藏了不為人知的安全隱患。
圖二:“寄生獸”名字來源于某動漫
VulpeckerTeam的安全專家黎博解釋,APP插件機制的實現方式是把相關功能編寫成單獨apk或jar文件,然后在程序運行時用DexClassLoader函數動態加載,進行反射調用。由于安卓應用的代碼緩存機制會優先加載運行APK的緩存代碼odex,因此如果針對插件的odex文件進行攻擊,開發者對于插件文件所做的各種保護都將失效。 安全人員測試了市面上幾款主流的app,凡是用到了這種插件機制的app,都沒有對DexClassLoader的第二個參數做校驗,一旦攻擊者將惡意代碼注入APK的緩存代碼(odex)中,開發者對apk/jar做的各種保護都將失效。而且這種攻擊,APK自身很難發現,即使重啟或關機,只要app一運行,惡意代碼就會隨之運行。 如何拯救你的安卓手機 相關新聞出來后,很多安全方面專家紛紛站出來表態,“寄生獸”作為APP層的漏洞,用戶也許可以從系統層面去解決這個棘手的問題,這就需要用戶去刷第三方ROM來解決,也就是說刷機有可能成為“寄生獸”的必殺技。 小編從國內刷機市場上了解到,作為國內最大的第三方刷機軟件--刷機精靈在幫助用戶刷機過程中,會自行檢測用戶手機中的系統漏洞、隱患軟件、支付風險等可能存在的系統隱患,從這方面講,刷機的確有可能幫助用戶躲避“寄生獸”的攻擊,用戶不妨一試。
圖三:刷機精靈可規避眾多系統風險
