标签: Android

卡巴斯基曝光两款 Android 恶意软件 可控制用户 Facebook 账户

安全大厂卡巴斯基刚刚公布了两款危害 Android 设备的新型恶意软件,警告其可能控制用户的 Facebook 等社交媒体账户。受感染的机器会向攻击者敞开用户社交帐户的访问权限,并被广泛应用于垃圾邮件和网络钓鱼等活动。更糟糕的是,两款恶意软件会协同工作,并逐步对用户设备展开破坏。 第一款恶意软件会尝试在受感染的 Android 设备上取得 root 权限,使得网络犯罪分子能够提取 Facebook 的 cookie,并将之上传到受控服务器。 卡巴斯基指出,通常情况下,仅拥有账号 ID 是不足以控制用户账户的。网站已经采取了一些安全措施,以阻止可疑的登陆尝试。 第二款 Android 木马可在受感染的设备上设置代理服务器,使得攻击者能够绕过安全措施,从而实现对设备的几乎完全控制,以染指受害者的社交媒体账户。 庆幸的是,只有少数人受到 Cookiethief 的威胁。但估计过不了多久,类似的攻击方法会变得越来越普遍。 卡巴斯基恶意软件分析师 Igor Golovin 表示:通过结合这两种方法,攻击者可在不引起受害者明显怀疑的情况下达成对 cookie 信息的窃取和账户的控制。 尽管这是一个相对较新的威胁,迄今为止的受害者只有 1000 人左右,但这一数字仍可能进一步增长,尤其是网站很难检测到行为的异常。 尽管我们在日常的网页浏览过程中不怎么关注,但 cookie 信息其实无处不在。作为处理个人信息的一种方法,其旨在收集线上的有关数据。 最后,卡巴斯基建议用户应养成良好的习惯,始终通过受信任的来源下载应用、阻止第三方 cookie 访问并定期清除,以充分抵御此类攻击。   (稿源:cnBeta,封面源自网络。)

Android 安全警告:10 亿台设备不再获得更新

据消费者监管机构透露,如果你仍在运行 Android 6.0 或更早版本,则会容易受到恶意软件的攻击。目前来看,全球有超过十亿的 Android 设备不再受到安全更新的支持,它们都是十分容易受到攻击的对象。 据统计,40% 的 Android 设备不再从 Google 接收到重要的安全更新,这使它们面临更大的恶意软件或其他安全漏洞风险。Android 10 是目前最新的版本,虽然它和其前身 Android 9 (Pie) 及 8 (Oreo) 仍在接收安全更新,但使用低于 Android 8 的任何设备都会带来安全风险。 根据 Google 去年公布的数据,全球约 40% 的 Android 活跃用户使用的是 6.0 或更早版本:Marshmallow (2015), Lollipop (2014), KitKat (2013), Jellybean (2012), Ice Cream Sandwich (2011) 以及 Gingerbread (2010)。而根据《 Android 安全公告》中的政策,2019年未发布针对 7.0 以下版本(Nougat)的 Android 系统的安全补丁。 这就意味着,全球有超过 10 亿部手机和平板电脑处于活跃状态,但不会再收到安全更新。有人购买了许多已使用三年的 Android 设备进行了验证,其中大多数只能运行 Android 7.0。结果显示,消费者团体聘请的安全专家能够用恶意软件感染所有设备,其中一些设备还会被多次感染。 测试中的所有手机均被 Joker(也称为 Bread)恶意软件成功感染,此外,被测试的每台设备也都被 Bluefrag 感染了,这是一个严重的安全漏洞,主要针对 Android 蓝牙组件。 事实上,对于应该为智能设备提供多长时间的更新,以便消费者可以做出明智的购买决定,并且一旦不再提供安全更新,客户如何获得有关其选择的更好信息等此类问题,应该具有更大的透明度。 谷歌表示,他们一直在致力于提升 Android 设备的安全性。他们每月都会提供安全更新、错误修复和其他保护措施,并持续与硬件和运营商合作伙伴保持合作,以确保 Android 用户能获得快速、安全的使用体验。 不过交付操作系统安全更新的时间取决于设备、制造商和移动运营商。由于智能手机制造商会对 Android 操作系统的某些部分进行定制,因此他们部署补丁和更新的速度通常比谷歌在自己设备上部署的速度更慢,或者根本没有部署。   (稿源:开源中国,封面源自网络。)

首款破解 2FA 的 Android 恶意程序曝光:可窃取银行帐号

上月,总部位于阿姆斯特丹的网络安全公司ThreatFabric发现了名为Cerberus的恶意程序。它是有史以来首款能够成功窃取Google Authenticator应用程序生成的2FA(两因素身份验证)代码功能的Android恶意软件。该软件目前正在开发过程中,目前没有证据表明已用于实际攻击。 研究人员表示,该恶意程序混合了银行木马和远程访问木马(RAT)特性。一旦Android用户被感染,黑客便会使用该恶意软件的银行木马功能来窃取移动银行应用程序的帐号凭据。 ThreatFabric的报告指出,远程访问特洛伊木马(Cerberus)是在6月底首次发现的,它取代了Anubis木马,并逐渐成为一种主要的恶意软件即服务产品。 报告指出,Cerberus在2020年1月中旬进行了更新,新版本引入了从Google Authenticator窃取2FA令牌以及设备屏幕锁定PIN码和滑动方式的功能。 即使用户账户受到2FA(Google Authenticator生成)保护,恶意程序Cerberus可以通过RAT功能手动连接到用户设备。然后,黑客将打开Authenticator应用程序,生成一次性密码,截取这些代码的屏幕截图,然后访问该用户的帐户。 安全团队表示:“启用窃取设备的屏幕锁定凭据(PIN和锁定模式)的功能由一个简单的覆盖层提供支持,该覆盖层将要求受害者解锁设备。从RAT的实现中,我们可以得出结论,建立此屏幕锁定凭据盗窃是为了使参与者能够远程解锁设备,以便在受害者不使用设备时进行欺诈。这再次显示了罪犯创造成功所需的正确工具的创造力。” 在本周发表的研究中,来自Nightwatch Cybersecurity的研究人员深入研究了导致这种攻击的根本原因,即Authenticator应用程序首先允许对其内容进行屏幕截图。 Android操作系统允许应用程序阻止其他应用程序截屏其内容,从而保护其用户。这是通过在应用程序的配置中添加“ FLAG_SECURE”选项来完成的。Google并未将此标记添加到Authenticator的应用中,尽管该应用通常处理一些非常敏感的内容。 Nightwatch研究人员表示,谷歌早在2014年的10月就收到了相关的问题报告,当时有用户在GitHub上注意到这个错误配置。2017年,Nightwatch在2017年的时候又向谷歌的安全团队报告了相同的问题,此外还发现微软的Authenticator同样存在能够截图问题。   (稿源:cnBeta,封面源自网络。)

Android 三月安全更新将全面修复 MediaTek-SU 权限漏洞

谷歌今日重申了让 Android 智能机保持最新的安全更新的重要性,使用基于联发科芯片方案的设备用户更应提高警惕。在 2020 年 3 月的安全公告中,其指出了一个存在长达一年的 CVE-2020-0069 安全漏洞。XDA-Developers 在本周的一份报告中写到,早在 2019 年 4 月,他们就已经知晓了此事。 与谷歌在 CVE-2020-0069 中披露的漏洞类似,XDA-Developers 论坛将之称作 MediaTek-SU,后缀表明恶意程序可借此获得超级用户的访问权限。 利用 MediaTek-SU 安全漏洞,恶意程序无需先获得设备的 root 权限(处理 bootloader 引导程序),即可获得几乎完整的功能权限,甚至肆意编辑和修改相关内容。 对恶意软件作者来说,此举无异于打开了 Android 手机上的后门面板,使之可以对用户为所欲为。 从获得放权访问权限的那一刻起,他就能够染指任何数据、输入和传入传出的内容。应用程序甚至可以在后台执行恶意代码,在用户不知情的状况下将命令发送到设备上。 联发科很快发现了该漏洞并发布了修复程序,但遗憾的是,设备制造商并没有太大的动力去向用户推送安全更新。经过一年的时间,仍有许多用户暴露于风险之中。 好消息是,现在联发科与谷歌达成了更紧密的合作,以期将这一修复整合到 3 月份的 Android 标准安全更新补丁中。在厂商推送 OTA 更新后,还请及时安装部署,以消除这一安全隐患。   (稿源:cnBeta,封面源自网络。)  

Android 端 Gmail 出现 BUG:清理垃圾邮件选项消失

“收件箱清零”(Inbox Zero)理念是指收件箱里的邮件通通处理归档了,眼前再没有待处理邮件,四大皆空,当下自在,几近涅槃。但这是很难达到的境界,大多数人都会尽力存档或者标记邮件,将不需要的电子邮件标记为垃圾邮件,然后定期进行完全清理。如果你经常执行后两项操作,那么Android端的Gmail应用上操作时候可能会出现麻烦,因为谷歌移除了标记为垃圾邮件和删除信息的功能。 现在Gmail版本,没有清除选项 此前Gmail版本 现在Gmail版本,没有清除选项 现在Gmail版本,没有清除选项 在此前的Gmail版本更新中,在查看垃圾邮件文件夹的时候顶部有“Empty Trash now”(Trash指手动删除的邮件备份,一个月后自动删除)和“Empty spam now”(Spam指自动过滤的垃圾邮件,以及被你标记为垃圾邮件)选项。而在最新版本这两个选项已经消失,用户虽然可以手动选择消息,但是没有提供永久删除的选项。 在Spam文件夹中用户在选中邮件之后依然可以选中,但是它们会被移动到Trash文件夹中,而在手机端上的操作该垃圾文件夹中必须要等待30天才能自动删除。因此用户确实想要操作这些垃圾邮件的用户,必须前往Web端Gmail进行操作。 更新: 这似乎是Gmail的显示错误,只需要横屏显示或者打开垃圾邮件/垃圾箱中的所有电子邮件,然后返回到列表,您将获得将其清空的选项。不过这种修复方式是临时的,但是你下次使用的使用需要再进行操作。 据Google支持论坛上的产品专家称,Gmail小组已承认到此问题,并正在努力进行修复。   (稿源:cnBeta,封面源自网络。)

谷歌警示三星:修改 Android 内核代码行为会暴露更多漏洞

Google Project Zero (GPZ)团队近日向三星发出警告,表示后者在Galaxy系列手机中修改内核代码的行为将会暴露更多的安全BUG。GPZ研究员Jann Horn表示,以三星为代表的多家智能手机厂商通过添加下游自定义驱动的方式,直接硬件访问Android的Linux内核会创建更多的漏洞,导致现存于Linux内核的多项安全功能失效。 Horn表示这个问题是在三星Galaxy A50的Android内核中发现的。不过他表示,这种情况在Android手机厂商中非常普遍。也就是说,这些厂商向Linux Kernel中添加未经上游(upstream)内核开发者审核的下游(downstream)代码,增加了与内存损坏有关的安全性错误。 即使这些下游定制旨在增加设备的安全性,它们也会引入安全性错误。谷歌于2019年11月向三星报告了该漏洞,随后在今年2月面向Galaxy系列手机的更新中修复了这个问题。 该错误影响了三星的PROCA(过程验证器)安全子系统。三星在其安全网站上将漏洞SVE-2019-16132描述为中等问题。它允许在运行Android 9和Android 10操作系统的某些Galaxy智能手机上“可能执行任意代码”。 Horn解释说:“Android通过锁定可以访问设备驱动程序的进程(通常是特定于供应商的)来减少此类代码对安全性的影响。”一个例子是,较新的Android手机通过专用的帮助程序来访问硬件,这些帮助程序在Android中统称为硬件抽象层(HAL)。 不过Horn表示,手机厂商通过修改Linux Kernel核心部分的工作方式,这破坏了“锁定攻击面”上做出的努力。Horn建议智能手机制造商使用Linux中已经存在的直接硬件访问功能,而不是更改内核代码。例如,PROCA旨在阻止已获得对内核的读写访问权限的攻击者,但三星需要花费工程时间来阻止攻击者首先获得该访问权限。   (稿源:cnBeta,封面源自网络。)

Android 恶意软件 xHelper 的删除方法

xHelper 是一种 Android 恶意软件,安全厂商 Malwarebytes 于 2019 年 5 月检测到了它的存在。这是一个隐蔽的恶意软件删除程序,即使在用户恢复出厂设置以后,该恶意软件还是会重新感染,从而给全世界的用户带来了持续困扰。 Malwarebytes 的安全研究人员一直在研究该威胁,在近日发布的一篇博客文章中,该团队表示,尽管仍未弄清楚该恶意软件如何自行重新安装,但他们确实已经发现了有关其操作方式的足够信息,以便永久删除它,并防止 xHelper 在恢复出厂设置后重新安装自身。 据 Malwarebytes 小组透露,xHelper 找到了一种使用 Google Play Store 应用内的进程来触发重新安装操作的方法。借助在设备上创建的特殊目录,xHelper 可以将其 Android 应用程序包(Android application package,APK)隐藏在磁盘上。与应用程序不同,即使在恢复出厂设置后,其目录和文件仍保留在 Android 移动设备上。因此,在删除目录和文件之前,设备将继续受到感染。 Malwarebytes 在对恶意软件的分析中解释道,“Google Play 未感染恶意软件。但是,Google Play 中的某些事件触发了重新感染-可能是某些东西正在存储中。此外,有些东西可能还会将 Google Play 用作烟幕,从而将其伪装为恶意软件的安装来源,而实际上它来自其他地方。” 删除 xHelper 的方法 值得注意的是,以下删除步骤依赖用户安装适用于 Android 的 Malwarebytes 应用程序,不过该应用程序可免费使用。 具体删除步骤如下: 从Google PLAY 安装文件管理器,该文件管理器可以搜索文件和目录。 Amelia 使用了 ASTRO 的 File Manager。 暂时禁用 Google PLAY 以停止重新感染。 转到设置 > 应用 > Google Play 商店 按禁用按钮在 Android 的 Malwarebytes 中运行扫描,以删除 xHelper 和其他恶意软件。 手动卸载可能是困难的,但是要在“应用程序”信息中查找的名称是 fireway,xhelper 和“设置”(仅在显示两个设置应用程序的情况下)。打开文件管理器并搜索以 com.mufc 开头的任何内容。 如果找到,记下最后修改日期。 专业提示:在文件管理器中按日期排序 在 ASTRO 的文件管理器中,您可以在视图设置下按日期排序删除以 com.mufc 开头的所有内容。以及具有相同日期的任何内容(除了核心目录,如 Download): 重新启用 Google PLAY 转到设置 > 应用 > Google Play 商店 按启用按钮   (稿源:开源中国,封面源自网络。)

50 多家组织致信谷歌:允许用户卸载所有 Android 预装应用程序

包括国际隐私组织、数字权利基金会,DuckDuckGo和电子前沿基金会在内的50多个组织,近日向Alphabet和Google首席执行官Sundar Pichai发出公开信,就Android设备预装软件所存在的漏洞以及它们如何给消费者带来隐私风险表明了自己的立场。 在这封公开信中,这些组织表示所有Android OEM厂商都在其设备上预装了无法删除的应用程序,并且具备厂商定值的特殊权限,因此可以绕过Android的权限模型。 这使的这些预装应用程序可以在没有用户干预的情况下,就能访问麦克风、摄像头、定位以及其他权限。这也导致很多智能手机OEM厂商可以在没有征得用户明确许可的情况下收集用户数据,并用于其他利益。 因此,这些组织希望谷歌对Android预装应用程序(Bloatware)采取一些调整,并希望公司能够为用户提供永久卸载设备上所有预装应用程序的功能。虽然可以在Android设备上禁用某些预加载的应用程序,但它们仍会继续运行某些后台进程,这使得禁用它们成为一个争论的焦点。 公开信中要求确保所有预装应用程序能够和常规应用程序一样罗列在Google Play应用商城中,并进行相同的审查。他们还希望即使设备没有用户登录,也可以通过Google Play更新所有预安装的应用。如果Google检测到OEM试图利用用户的隐私及其数据,则出于隐私和保护用户数据方面的考量拒绝认证该设备。 Google在Android 10中进行了许多针对隐私的更改,但仍有很多地方可以进行完善,帮助用户免受预装应用程序的侵害。   (稿源:cnBeta,封面源自网络。)

Android 端 Twitter 应用曝出安全漏洞:信息恐已泄漏 推荐尽快更改密码

今天早些时候,推特(Twitter)面向所有Android端推特用户发送了一封电子邮件,在确认公司已经修复Android端APP存在的严重漏洞之外,有黑客可能通过该漏洞获取了部分用户账户信息。在公司发布的详细博文中,推特表示公司目前并没有发现任何直接证据表明这些数据已经被使用,在暗网或者其他渠道上也没有披露/出售的信息。 但是作为预防措施,推特已经通过电子邮件和移动APP的方式通知用户尽快更改密码,从而确保自己的账户安全。此外该公司还向用户发布了相关说明和APP更新。 在电子邮件中写道: 我们最近修复了存在于Android端Twitter应用中的一个漏洞,该漏洞能够让不良行为者看到非公开帐户信息或控制您的帐户(即发送推文或直接消息)。在修复之前,通过将恶意代码插入Twitter应用程序受限制的存储区域等复杂过程,不良行为者可能已经可以访问来自Twitter应用程序的信息(例如,直接消息,受保护的推文,位置信息)。 我们没有证据表明恶意代码已插入到应用程序中或已利用此漏洞,但是目前我们无法百分百确认,因此我们需要格外的小心。   (稿源:cnBeta,封面源自网络。)

Google 修复了 Android 中的 DoS 漏洞(CVE-2019-2232)

Android系统发布了2019年12月的安全更新,此次解决的漏洞中包含一个可能导致DoS攻击的严重漏洞(CVE-2019-2232)。 12月1日的补丁解决了Framework中的六个漏洞,两个媒体框架漏洞,系统中的七个以及Google Play系统更新中的两个漏洞。 CVE-2019-2232 DoS漏洞将会影响Framework组件,以及Android版本8.0、8.1、9和10。 Google发布安全公告称:“黑客可能利用漏洞伪造特殊消息,进而导致永久拒绝服务。”。 Google还解决了Framework中的5个漏洞,三个特权提升漏洞(CVE-2019-9464,CVE-2019-2217,CVE-2019-2218),一个高风险信息泄露(CVE-2019-2220 ),以及一个中等级别的特权提升错误 (CVE-2019-2221)。 系统中修补的漏洞严重性较高,例如远程执行代码,特权提升和五个信息泄露漏洞。 12月5日的补丁各自解决了Framework和System中的一个高危信息泄露漏洞。它还修复了内核中的三个高风险特权提升漏洞以及高通组件中的十二个高危漏洞。 除此之外,Google还解决了Pixel设备上的一系列安全漏洞。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接