CVE-2016-3862

作者: 分类: Security,Translation 时间: 2016-09-11 评论: 暂无评论

原文在这里CVE-2016-3862 flaw – Silently hack millions Androids devices with a photo

CVE-2016-3862 漏洞 - 仅一张图片便可无声的攻破数百万安卓设备

CVE-2016-3862 是一个远程代码执行漏洞,对于某些解析了Exif图片数据的安卓应用一张图片便足以造成危害

你是一位安卓用户?有个坏消息,在社交媒体或者可通信的应用上,一张看起无害的图片可能危害你的移动设备。

谷歌发布了最新的安全更新,用于修复 Quadrooter 漏洞,这个漏洞威胁了900多万台设备,并且一个零日漏洞(0day)可让攻击者将自己的攻击行为隐藏在图片之下。

这个漏洞被编号为CVE-2016-3862,是一个在远程媒体服务器上实现远程代码执行的漏洞。实现方式是通过解析了Exif图片数据的安卓应用来打开一张内含危害的图片。

“可交换的图像文件格式(正式的说法叫Exif,由JEIDA/JEITA/CIPA规定规格)是一种标准,这种标准规定了格式为用数码相机(智能手机)记录的图片、声音、和辅助标签,扫描器和其他系统的图像处理和用数码相机记录的音频文件”维基百科上这么解释。

该漏洞首次曝光于来自SentinelOne公司的安全研究人员Tim Strazzere ,Strazzere解释了该漏洞可以让攻击者在受害者完全毫无察觉的情况渗透并取得设备的完全控制权或者让手机崩溃。

“Strazzere告诉我只要攻击者让一个用户打开一张在受影响的应用里(如Gchat和Gmail)的图片文件,那么他们就可以让手机崩溃或者实现远程代码执行;因此他们可以在用户不知情的情况下有效地添置恶意软件到用户设备上并控制该设备。”Forbes这么说。

受害者甚至不需要点开恶意的图片,或者点开某个连接,因为只要图片一旦被设备所解析,便会出发CVE-2016-3862这个漏洞。

“这个问题最重要的是恶意的攻击者根本不需要受害者去做任何事。由于漏洞的出发不需要用户做太多互动——一个应用必须通过特定方式加载一张图片——漏洞的出发跟收到一条来自某人简讯或者邮件一样容易。只要应用程序尝试去解析图片(通常都是自动解析直至完成),就使漏洞生效了。”Strazzere 这么说。

这意味着什么?

只要一张包含了普通利用代码的图片便可无声地攻破数百万安卓设备,是一种跟Stagefright相似的利用,Stagefright允许攻击者只需要一条简单的文本信息就能攻破一台智能手机。

“理论上,某些人可能创造一张内含普通的利用代码去攻破许多设备。但是由于我技能水平的原因,我不得不专门针对每个设备用不同的手法。仅管一旦完成,Gchat,Gmail和其他大部分的即时通讯应用或者社交应用可能会允许触发该漏洞。”

Strazzere为受影响的设备开发了利用代码(EXP),并在Gchat,Gmail和许多即时通讯应用和社交应用上测试了。

Strazzere没有纰漏其他受CVE-2016-3862漏洞影响的应用名称,他补充说明恶意软件列表里包含了“隐私-敏感”的工具。许多移动应用实现了安卓Java的Exif的接口,这就可能存在漏洞了。

这个漏洞和去年的Stagefright类似,Stagefright允许攻击者通过一条简单的文本信息在受害者没有任何注意的情况下劫持受害者的安卓设备。

安卓受CVE-2016-3862漏洞影响的系统版本有4.4.4到6.0.1,确保设备安装了最新的更新。

谷歌已经发布了修补该漏洞的补丁,和往常一样,这并不意味着你的移动设备已经安装了该补丁,因为补丁安装与否取决于生厂商和发行商。

所以,如果你没有安装最新的安卓系统的更新版本,你可能会受到基于图片的恶意攻击。

谷歌奖励了Strazzere 4000美元,作为一部分安卓漏洞提交的奖金,另外加了4000美元作为研究人员的慈善活动,总共8000美元给Girls Garage,这是一个非营利性组织,为9-13岁的女孩设计一些程序。

声明:文章基本原创,允许转载,但转载时必须以超链接的形式标明文章原始出处及作者信息。

添加新评论