Android裝置安全影響整個企業資料洩露

本文講的是 : Android裝置安全影響整個企業資料洩露   ,【IT168 編譯】DEF CON黑客大會上研究人員表示，谷歌Android的單點登入功能“weblogin”很方便，但可能讓企業的谷歌應用程式受到威脅。

　　Tripwire公司高階安全研究人員Craig Young發現多個攻擊向量，允許攻擊者通過一個Android裝置入侵到受害者的谷歌雲應用程式。這個漏洞也被稱為“weblogin”，Android使用這個令牌來允許使用者一次性登入所有谷歌服務，當攻擊者獲得這個weblogin令牌後，將可能獲得對訪問域控制皮膚的控制。

　　Young在DEF CON黑客大會上稱：“我完全可以攻擊Google Apps，只需要一個令牌。”Young此前曾延時了Android如何被用來繞過谷歌的兩步驟身份驗證，他表示，他一直很好奇Android與Google Apps結合使用的風險問題。

　　Android的weblogin功能基本上是使用cookies來訪問谷歌服務，而不是密碼。但是該功能帶來方便的同時，也帶來風險：如果攻擊者使用它來訪問域控制皮膚，那麼，攻擊者就可以重置密碼，執行“資料轉儲”，並下載驅動檔案。

　　“我進行這個令牌研究的原因是，我一年前購買了一個Android平板電腦，並發現Chrome會自動讓我登入到谷歌的網站，這讓我非常詫異。當時，我還沒有意識到Google Apps控制皮膚可能這樣被暴露：這真的是一個啟示，”Young表示，“我現在已經用了一段時間的Google Apps，總是使用該管理員賬號登陸。”

　　在意識到潛在的風險後，Young停止了這種做法，並啟動了其最新研究。Young表示，防止這種攻擊的最好方法是避免在Android裝置上使用管理員賬戶，並對令牌請求保持懷疑態度。旨在可信賴應用商店和可信供應商購買應用程式，並執行防毒軟體來尋找根級漏洞利用。

　　他表示：“使用谷歌雲端計算的企業需要確保其IT管理員需要由管理員許可權來訪問Google Apps控制皮膚，而不是從其Android手機，如果從手機登陸，他們需要輸入一個密碼。”谷歌今年早些時候獲知了Young的研究結果，谷歌還沒有對Young的研究做出回應。

　　Young表示，“谷歌已經解決了一些問題，他們告訴我很快會解決這個問題，但還沒有解決，他們需要阻止對Google Apps控制皮膚的訪問。”

　　Young表示，攻擊者可能訪問Android使用者的weblogin或者令牌，使用根級漏洞利用或者被感染的應用程式。“然後他們可以訪問你的Gmail，閱讀所有你的郵件和聯絡人資訊，並重置你的賬戶密碼，這是很可怕的事情，你可能都不會意識到別人在使用你的賬戶。”

　　即使攻擊者不能得到管理員手機令牌，他仍然可以獲得weblogin令牌，來訪問Android使用者已經訪問的所有檔案。Young測試發現，攻擊者可以很容易的在谷歌Play商店中植入惡意應用程式。他建立了一個假冒的應用程式“Stock Viewer”，售價為150美元，一個月左右都未被發現，即使其描述這樣寫道“該應用程式提供對你的Google Stock Portfolio的快速訪問，同時完全破壞你的隱私。如果你想要方便，而不是安全性，這款應用程式就是你的最好選擇。該應用程式目前正在測試中，不能被任何人安裝。”

　　該應用程式並不包含根級漏洞利用，但Young表示，如果有的話，他相信谷歌可能已經抓住了這個漏洞程式碼。即便如此，Play商店和蘋果的應用商店並不是萬無一失的。事實上，Young指出：“他們並沒有及西寧原始碼審查，他們只是檢視二進位制格式的東西。所以你不能依靠谷歌或蘋果來確保應用的安全性。”

原文釋出時間為：2015年7月6日

本文作者：鄒錚

本文來自雲棲社群合作伙伴IT168，瞭解相關資訊可以關注IT1684

原文標題 :Android裝置安全影響整個企業資料洩露