标签: Android

攻击者开发 BugDrop 恶意软件,可绕过安卓安全防护

据The Hacker News报道,攻击者正在想法设防绕过 Google Play 商店的安全保护措施。安全研究人员也发现了一个以前未记录的Android滴管木马,该木马目前正在开发中。 荷兰网络安全公司ThreatFabric的Han Sahin 在一份报告中指出,这种恶意软件试图使用一种从未见过的新技术来感染设备,以传播极其危险的Xenomorph银行木马,允许犯罪分子在受害者的设备上进行欺诈攻击。 该恶意软件被ThreatFabric命名为BugDrop,是一种dropper应用程序,其设计目的十分明确,就是为了应对Android系统更新引入的新功能:使恶意软件难以向受害者请求辅助功能服务权限。 ThreatFabric认为BugDrop恶意软件的始作俑者是臭名昭著的“Hadoken Security”网络犯罪组织,该组织也是Xenomorph /Gymdrop 等Android等系列恶意软件的幕后黑手。 从以往滴管木马的表现来看,这类银行木马通常会利用无害的滴管应用程序部署在Android系统上,滴管程序则会伪装成具有生产力或比较实用的应用程序,用户一旦安装,就会诱骗用户授予侵入性权限。 例如可读取手机屏幕内容,并代表用户执行操作的Accessibility API已经被攻击者广泛滥用,攻击者可以借此捕获账户密码、财务信息等较为敏感的用户数据。具体实现方式为,当受害者打开所需的应用程序(例如加密货币钱包)时,木马会注入从远程服务器检索到的假冒登录表单。 鉴于大多数这些恶意应用程序都是侧载,只有在用户允许从未知来源安装时才有可能发生这种情况,因此谷歌在 Android 13 中采取了阻止辅助功能 API 访问,从应用程序商店外部安装应用程序的步骤。 但这并没有阻止对手试图绕过这个受限的安全设置。输入 BugDrop,它可以伪装成 QR 码阅读器应用程序。安全人员亲自进行测试,可通过基于会话的安装过程部署恶意有效负载。安全人员进一步强调,“攻击者正在使用这类恶意软件,能够在受感染的设备上安装新的APK,以测试基于会话的安装方法,并将其整合到更精细的 dropper 中,这在未来是很有可能会发生的事情。” 如果上述变化成为现实,可能会使银行木马更具威胁性,甚至能够绕过安全防护体系,给用户造成严重损失。 ThreatFabric公司也表示,“随着BugDrop逐步完善当前存在的各种缺陷,攻击者在与安全团队、银行机构的战争中拥有一种全新的高威力的武器,足以击败谷歌目前采用的解决方案,这需要引起谷歌和安卓的警惕。” 转自 FreeBuf,原文链接:https://www.freebuf.com/news/342264.html 封面来源于网络,如有侵权请联系删除

因收集 Android 位置数据,Google 被罚六千万美元

近日,澳大利亚公平竞争和消费者委员会(ACCC)发布消息称,谷歌2017年1月至2018年 12 月的时间里,存在收集和使用其位置数据并误导澳大利亚 Android 用户,被处以6000万美元(约合人民币2.88亿元)罚款。 澳大利亚竞争监管机构表示,这家科技巨头继续跟踪其部分用户的 Android 手机,尽管他们在设备设置中禁用了“位置历史记录”。但实际情况是,谷歌在默认情况下会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。 ACCC 表示,根据现有数据,估计有超过 130 万个属于澳大利亚人的谷歌账户受到影响。 ACCC 主席 Gina Cass-Gottlieb表示,谷歌是世界上最大的公司之一,它能够保留通过“网络和应用活动”设置收集的位置数据,谷歌可以使用保留的数据将广告定位到某些消费者,即使这些消费者“位置记录”设置已关闭。 个人位置数据对一些消费者来说既敏感又重要,如果谷歌没有做出误导性的陈述,一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。 澳大利亚联邦法院做出处罚决定 ACCC早在2019年10月就对谷歌提起诉讼。2021年4月,澳大利亚联邦法院裁定谷歌上述做法违反消费者法。主审案件的Thomas Thawley法官表示,被误导的用户不会想到,如果允许“网络和应用程序活动”的跟踪,就意味着允许谷歌使用自己的位置数据。 当时谷歌表示不同意法官的调查结果。“我们为位置数据提供强大的控制,并且一直在寻求做更多的事情——例如我们最近为位置历史引入了自动删除选项,让用户控制数据变得更加容易。” 此番联邦法院确认,2017年1月至2018年12月期间,谷歌通过安卓手机收集和使用其个人位置数据时,对用户做出误导性陈述,违反了消费者法。不仅如此,谷歌还被发现另外两项误导用户的违法行为。 在8月12日联邦法院的听证会上,双方同意处以6000万澳元的“公平合理”罚款,并且已向Thomas Thawley大法官提交一份联合意见书。此外,联邦法院下令谷歌调整其政策,以确保对合规的承诺,并为员工提供有关消费者法的培训。 ACCC 主席 Gina Cass-Gottlieb认为,“个人位置数据对某些消费者来说是敏感和重要的,如果不是谷歌做出误导性陈述,一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。” 在ACCC主席Gina Cass-Gottlieb看来, 联邦法院这一重大处罚向数字平台和其他大大小小的企业发出一个强烈的信号,即企业不能就数据的收集和使用误导消费者。 谷歌在全球范围内遭遇多次处罚 这已经不是谷歌第一次因违反数据相关法律而遭受处罚,近年来,谷歌在全球范围内都曾因为数据收集、使用不当,违反当地数据法规而被罚款。 2022年 1 月,法国国家信息与自由委员会 (CNIL)对谷歌处以 1.7 亿美元的罚款,原因是谷歌将这个选项隐藏在多次点击之后,使网站访问者难以拒绝跟踪cookie,这侵犯了互联网用户的同意自由。 . 此前,谷歌还因激进的数据收集被罚款 1130 万美元,因偏袒竞争对手的服务而被罚款2.2 亿欧元 ,因在线广告中的反竞争行为被罚款 17 亿美元 ,以及因滥用其市场主导地位调整搜索结果而被罚款 27.2 亿美元等。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341890.html 封面来源于网络,如有侵权请联系删除

Google 修补 Android 中的关键远程代码执行漏洞

Hackernews 编译,转载请注明出处: Google修补了Android操作系统中的一个关键漏洞,跟踪为CVE-2022-20345,可利用该漏洞通过蓝牙实现远程代码执行。 Google没有透露有关该漏洞的其他细节。 “本节中最严重的漏洞可能导致通过蓝牙远程执行代码,而不需要额外的执行权限。”Google发布的安全公告中写道。 Google通过发布安全补丁级别“2022-08-01”和“2022.08-05”解决了这个问题。 CVE-2022-20345漏洞是Google本月唯一被评为“严重”的漏洞。其他所有漏洞都被评为“高危”。这些漏洞影响了框架、媒体框架、系统、内核、想象技术、联发科技、Unisoc和高通组件。 Google还修补了Google Pixel设备中的数十个安全漏洞,包括四个关键的远程代码执行漏洞,跟踪如下: CVE REFERENCES TYPE SEVERITY COMPONENT CVE-2022-20237 A-229621649 * RCE Critical Modem CVE-2022-20400 A-225178325* RCE Critical Modem CVE-2022-20402 A-218701042 * RCE Critical Modem CVE-2022-20403 A-207975764 * RCE Critical Modem   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

“漫游螳螂”金融黑客瞄准法国 Android 和 iPhone 用户

Hackernews 编译,转载请注明出处: 被追踪为“漫游螳螂”的移动威胁运动与针对法国手机用户的新一波妥协有关,数月前,它将目标扩大到欧洲国家。 Sekoia在上周发布的一份报告中表示,作为活动恶意软件操作的一部分,至少有7万台Android设备被感染。 众所周知,涉及漫游螳螂的攻击链是一种出于经济动机的中国黑客组织,它要么部署一个名为MoqHao(又名XLoader)的银行木马,要么将iPhone用户重定向到模仿iCloud登录页面的凭证获取登录页面。 “MoqHao(又名Wroba,Android的XLoader)是一种Android远程访问木马,具有信息窃取和后门功能,可能通过短信传播。”Sekoia研究人员表示。 这一切都始于网络钓鱼短信,这是一种被称为短信诈骗的技术,通过包含流氓链接的包裹交付主题消息吸引用户,单击后,继续下载恶意APK文件,但前提是要确定受害者的位置是否在法国境内。 如果收件人位于法国境外,并且设备操作系统既不是Android也不是iOS(通过检查IP地址和User-Agent字符串可以确定这一因素),则服务器设计为使用“404未找到”状态代码进行响应。 MoqHao通常使用通过动态DNS服务Duck DNS生成的域作为其第一阶段交付基础架构。更重要的是,恶意应用程序伪装成Chrome网络浏览器应用程序,来诱骗用户授予其入侵权限。 间谍软件特洛伊木马使用这些权限,为与受感染设备进行远程交互提供了途径,使攻击者能够秘密获取敏感数据,例如iCloud数据、联系人列表、通话记录、SMS消息等。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Google 在 Android 中增加了对 DNS-over-HTTP/3 的支持,以保持 DNS 查询的私密性

Hackernews 编译,转载请注明出处: 谷歌周二正式宣布支持Android设备的HTTP/3 DNS(DoH3),这是谷歌Play系统更新的一部分,旨在保持DNS查询的私密性。 为此,运行Android 11及更高版本的Android智能手机预计将使用DoH3,而不是包含在Android 9.0移动操作系统中的DNS-over-TLS (DoT)。 DoH3也是DNS-over-HTTPS(DoH)的替代方案,这是一种通过加密连接执行远程域名系统解析的机制,可有效防止第三方窥探用户的浏览活动。 HTTP/3是自2015年5月推出HTTP/2以来对超文本传输协议的首次重大升级,旨在使用一种名为QUIC的新传输层协议,该协议已得到Google Chrome,Microsoft Edge,Mozilla Firefox和Apple Safari等主要浏览器的支持。 谷歌于2012年开发的低延迟协议依赖于用户数据报协议,而不是传输控制协议,以使HTTP流量更加安全和高效,更不用说减少在两个端点之间建立连接所需的时间。 DoH3还具有保持稳定连接的优势,即使移动设备经常更换网络(例如,从Wi-Fi到LTE)。“对于DoT来说,这些事件需要对连接进行全面的重新协商。相比之下,基于QUIC传输的HTTP/3可以在单个RTT中恢复挂起的连接。”谷歌指出。 此外,为了提高DNS解析器的安全性,该组件已在Rust中实现,从而实现内存安全保证。值得指出的是,Google 在 2021 年 4 月为 Android 添加了 Rust 支持。 “随着 Rust 的推出,我们能够同时提高安全性和性能,”Maurer 和 Yu 表示。“同样,QUIC也可以让我们同时提高网络性能和隐私。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

有 Android 恶意软件被发现在受害者不知情的情况下为其订阅付费服务

微软365防御团队表示,有一种越来越流行的恶意软件可以在受害者不知情的情况下为其订阅高级服务。不过,这种攻击相当精细,恶意软件必须执行相当多的步骤。窝藏恶意软件的应用程序通常被归类为”收费欺诈”,并使用”动态代码加载”来实施攻击。 简而言之,该恶意软件借助运营商的月度账单会订阅了一项高级服务,不知情的受害者只能被迫付款。 该恶意软件只通过利用蜂窝网络使用的所谓WAP(无线应用协议)来工作。这就是为什么某些形式的恶意软件会禁用手机Wi-Fi或等待到Wi-Fi覆盖范围之外才激活。这就是前面提到的动态代码加载发挥作用的地方。然后,恶意软件在后台会下达订阅服务的指令,读取你在订阅前可能收到的OTP(一次性确认密码),自动填写OTP字段,同时隐藏通知以掩盖其踪迹。 好消息是,由于Google的政策限制了应用程序使用动态代码加载,所以该恶意软件主要是在Google的官方应用商店之外传播。因此使用手机的时候要要小心,尽量避免侧载Android应用程序。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1287875.htm 封面来源于网络,如有侵权请联系删除

微软发现 Android 预装应用受高危漏洞影响

5月27日,微软365 Defender 研究团队披露了在 mce Systems 提供的 Android Apps 移动服务框架中的严重安全漏洞,多个运营商的默认预装应用受影响,其下载量已达数百万次。 研究人员发现的漏洞被追踪为CVE-2021-42598、  CVE-2021-42599、  CVE-2021-42600和 CVE-2021-42601, CVSS评分在 7.0分-8.9分之间, 能够让用户遭受命令注入和权限提升攻击,受影响的运营商包括 AT&T、TELUS、Rogers Communications、Bell Canada和 Freedom Mobile。 研究人员发现该框架有一个“BROWSABLE”服务活动,可以远程调用以利用多个漏洞,攻击者可以利用这些漏洞来植入持久性后门或对设备进行实质性控制。 这些带有漏洞的应用程序嵌入在设备的系统映像中,表明它们是这些运营商提供的预装软件。如同现在大多数 Android 设备附带的许多预装或默认应用程序一样,如果没有获得设备的 root 访问权限,一些受影响的应用程序就无法完全卸载或禁用。 在微软公开披露这些漏洞之前,mce Systems 已修复问题并向受影响的提供商提供框架更新,但研究人员发现一些运营商仍在使用之前存在漏洞的框架版本,如果用户安装了包名为 com.mce.mceiotraceagent的应用,其设备也可能会受到试图滥用这些漏洞的攻击,建议用户及时清除这些应用,并更新至最新的系统版本。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334690.html 封面来源于网络,如有侵权请联系删除

Android 被爆安全漏洞 根源是苹果的无损音频编解码器

近日 Android 设备被爆存在安全漏洞,但根源来自于苹果的无损音频编解码器(ALAC)。目前,美国市场 95% 的 Android 设备来自于高通和联发科,安全公司 Check Point 指出尚未安装 2021 年 12 月 Android Security Patch 的设备都存在“Out-of-Bounds”安全漏洞,容易被黑客控制。 该漏洞存在于 ALAC 中,它通常被称为苹果无损音频编解码器。ALAC 是苹果公司早在 2004 年就推出的一种音频格式。顾名思义,该编解码器承诺在互联网上提供无损音频。 虽然苹果公司设计了自己的 ALAC 专利版本,但存在一个开源版本,高通公司和联发科在Android智能手机中依赖该版本。值得注意的是,这两家芯片组制造商都在使用一个自 2011 年以来没有更新过的版本。 在一篇试图解释安全漏洞的博客文章中,Check Point写道: 我们的研究人员发现的 ALAC 问题可以被攻击者用来通过畸形的音频文件对移动设备进行远程代码执行攻击(RCE)。RCE 攻击允许攻击者在计算机上远程执行恶意代码。RCE 漏洞的影响范围很广,从恶意软件的执行到攻击者获得对用户多媒体数据的控制,包括从被攻击机器的摄像头中获得流媒体。 高通公司一直在用 CVE 识别标签 CVE-2021-30351 追踪该漏洞,而联发科则使用 CVE ID CVE-2021-0674 和 CVE-2021-0675。撇开技术术语不谈,开源版苹果无损检测中的漏洞可被无特权的Android应用利用,将其系统权限升级到媒体数据和设备麦克风。这基本上意味着应用程序不仅可以窃听电话交谈,还可以窃听附近的谈话和其他环境声音。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1261179.htm 封面来源于网络,如有侵权请联系删除

一批 Android 网银木马躲过官方应用商店检测 清理前下载量已达 30 万

Threat Fabric 安全研究人员刚刚公布了一批 Android 网银木马,而且在被 Google Play 清理之前,其下载量就已经超过了 30 万次。在二维码扫描仪、PDF 扫描仪、加密货币钱包等表象的掩饰下,这些恶意应用会在暗中窃取用户登录凭证、双因素身份验证码、记录按键、以及屏幕截图。 (来自:Threat Fabric) 通过持续四个月的追踪,Threat Fabric 发现了四个独立的 Android 恶意软件系列。可知其利用了多种技巧,来规避 Google Play 应用商店的检测机制 安全研究人员指出,之所以从 Google Play 的自动化(安全沙箱)和机器学习审核流程中逃逸,正是该平台试试权限限制的直接后果。 通常情况下,这些恶意软件会先以一款良性 App 的面目示人。所以在早期的 VirusTotal 恶意软件检测过程中,它们并不会在第一时间被揪出。 但在用户安装后,它们就会开始诱骗用户下载并安装带有“附加功能”的更新包。此时这些恶意应用会通过第三方来源来获取,但此时它们已经骗取了用户的普遍信任。 为了躲避雷达追踪,这些恶意程序还利用了其它手段。在许多情况下,幕后操纵者只有在检查受感染的设备的地理位置、或通过增量更新后,才会手动部署恶意内容。 这种致力于躲过不必要关注的手段,实在让人难以置信。然而现实表明,基于自动化流程的传统恶意软件检测方案,正在变得不那么可靠。 在近日发表的一篇博客文章中,Threat Fabric 详细阐述了被调查的 9 款 dropper 恶意软件。其中造成最多感染的,被称作 Anatsa 家族。 这款“相当先进”的 Android 网银木马内置了许多功能,包括远程访问和自动转账系统。受害者将被无情地清空账户,将资金转移到幕后黑手控制的账户中。 感染 Anatsa 恶意软件的过程,是从 Google Play 下载看似人畜无害的初始安装包后开始的。之后相关 App 会强制用户更新,以继续使用该应用程序。 但现实是,幕后黑手在远程更新服务器上托管了夹带私货的恶意内容,并通过骗取信任的方式,将之安装在了毫无戒备的受害者设备上。 为了装得更像一些,幕后团伙甚至会雇人在 Google Play 应用商店刷好评,以引诱更多无辜者上当受骗。 最后,研究人员还发现了另外三大恶意软件家族(分别称之为 Alien、Hydra 和 Ermac)。 其特点是植入了 Gymdrop 恶意负载,并利用基于受感染设备模型的过滤规则,来躲过安全研究人员的搜捕。   (消息及封面来源:cnBeta)

研究人员发现 23 个 Android 应用因未确保安全而暴露了超过 1 亿用户的数据

安全漏洞和bug时有发生,这本就是软件开发过程的一部分,但缺陷是由糟糕的编程人员造成的时候,这个问题就会特别令人生气。在应用程序中硬编码认证密钥或未能在在线数据库中设置认证是开发人员无法接受的,然而,这是一个相当普遍的现象。 周四,网络安全公司Check Point Research发布了一份报告,详细介绍了23个Android系统的不良云配置和实施,可能使数百万用户的数据面临风险。可能泄露的信息包括电子邮件记录、聊天信息、位置信息、图像、用户ID和密码。 一半以上的应用程序的下载量都超过1000万,因此受影响的用户范围很大,Check Point估计,这些应用程序可能已经暴露了超过1亿用户的数据。 大多数应用程序都有实时数据库,开发人员对公众敞开了大门,这个问题非常常见且分布广泛,它的研究人员发现,在他们调查的一半以上的应用程序的数据库中,他们可以自由访问信息。 技术人员还发现,将近一半的应用程序将其云存储密钥嵌入其应用程序的代码中。例如,CPR从一个名为 “iFax”的传真应用程序中获取了密钥,这将使他们能够访问该应用程序的50多万用户发送的每一份传真。出于道德原因,研究人员没有访问这些记录,但通过代码分析验证了他们可以这样做。 他们发现的一个不太常见的问题仍然值得注意,那就是硬编码的推送通知键。嵌入的通知密钥并不像将云存储密钥编码到程序中那么严重,但CPR解释说,这也是同样糟糕的一种做法。 “虽然推送通知服务的数据并不总是敏感的,但代表开发者发送通知的能力足以引诱恶意的行为者。想象一下,如果一个新闻输出应用程序向其用户推送一个假的新闻条目通知,将他们引向一个钓鱼网页,要求他们更新订阅。由于该通知源自官方应用程序,用户不会怀疑任何事情,因为他们确信这个通知是由开发人员发送的”。 Check Point表示,在披露这些漏洞之前,它已经通知了应用程序制造商,而且有几个制造商跟进了更新,以修复这些问题。然而,被调查的23个应用只是Google Play上287万个应用中的一个微不足道的样本,可能有更多的人在使用这些同样糟糕的做法。     (消息及封面来源:cnBeta)