几维资讯> 行业资讯

Android Antivirus中的严重错误暴露了地址簿

几维安全 2019-08-08 16:16:38   91
分享到:

针对21个免费的Android防病毒应用程序进行全面测试,发现了大量安全漏洞和隐私问题; 尤其适用于AEGISLAB,BullGuard,dfndr和VIPRE。

在最近的测试中,一系列流行的免费Android防病毒应用程序被证明存在安全漏洞和隐私问题 - 包括暴露用户地址簿的重要漏洞,以及另一个严重漏洞,使攻击者能够完全关闭防病毒保护。

根据这21个Android防病毒软件供应商的Comparitech的分析,测试的三个应用程序(来自VIPRE Mobile,AEGISLAB和BullGuard)存在严重的安全漏洞,7个应用程序无法检测到测试病毒。总共有47%的测试供应商在某种程度上失败了。

安全漏洞

VIPRE的受欢迎的应用程序被发现有两个不安全的直接对象引用(IDOR)错误,其中包括一个严重的缺陷,使高级用户的通讯录同步有可能使他们的联系人被盗,包括全名,照片,地址和敏感的个人笔记信息。

“使用在线仪表板,我们发现攻击者可以通过启用云同步来访问VIPRE Mobile用户的地址簿,”Comparitech的研究人员周四在一篇博客中表示。“基于我们的概念验证和应用程序的受欢迎程度,我们估计有超过一百万的联系人在网络上无担保。”

该缺陷是由于访问控制中断或实施不当造成的,这表现为VIPRE Mobile后端的IDOR漏洞。

“负责的脚本只检查以确保攻击者已登录,”研究人员说。“没有进一步检查以确保请求是由适当的设备或帐户执行的。”

另一个严重的缺陷为攻击者发送虚假的防病毒警报打开了大门。

研究人员说:“生成欺诈性警报并将其发送给毫无戒心的用户是微不足道的。” “我们发现我们可以编辑警报请求中的字段,让它说出我们想要的任何内容。我们能够通过捕获发现病毒时生成的请求来推送虚假警报,然后操纵请求以更改用户ID和其他参数。结果是在受害者的VIPRE Mobile仪表板上显示了一个完全真实的病毒警报。”

BullGuard的应用程序同时也包含严重的IDOR缺陷,这意味着所有用户都容易受到攻击者远程禁用其防病毒保护的攻击。此外,该应用程序有一个严重的跨站点脚本问题(XSS),允许攻击者插入恶意代码,因为易受攻击。IDOR漏洞允许攻击者遍历客户ID并在每台设备上禁用BullGuard。

“我们能够拦截并改变禁用BullGuard Mobile防病毒的请求,”研究人员写道。“我们的测试发现,当用户关闭防病毒保护时生成的请求可以被捕获和更改。通过更改此请求中的用户ID,可以禁用任何设备上的防病毒保护。似乎没有访问控制来确保正确的用户提出请求。”

此外,Comparitech发现其中一个负责处理BullGuard网站上新用户的脚本容易受到XSS攻击。

他们解释说:“有问题的脚本不会清理传递给它的任何参数,这使得攻击者能够运行恶意代码。”

攻击者可以利用此功能在页面上显示警报,劫持会话,收集个人数据或将网站用作网络钓鱼活动的平台。

最后,AEGISLAB网络仪表板的用户也面临着严重的XSS漏洞,这会给攻击者插入恶意代码打开大门,因为该公司没有锁定应用程序的仪表板。

“根据分析,我们发现了影响my2.aegislab.com域上运行的一个脚本的几个XSS漏洞。” “因为传递给脚本的参数都没有被清理过,所以攻击者执行恶意代码本来是微不足道的。”

据Comparitech称,这三家供应商已经更新了他们的应用程序以解决这些漏洞。

病毒检测和隐私

除了安全问题之外,许多应用程序在基本检测时都被发现失败了。AEGISLAB Antivirus Free; Antiy AVL Pro防病毒和安全; Brainiacs防病毒系统; Fotoable超级清洁剂; MalwareFox反恶意软件; NQ Mobile Security&Antivirus Free; Tap Technology Antivirus Mobile; 和Zemana Antivirus&Security未能检测到测试病毒。

“我们使用的Metasploit有效载荷试图在没有模糊处理的情况下在设备上打开反向外壳,”研究人员在周四的 一篇文章中 解释道。“它是为这种测试而打造的。每个Android防病毒应用都应该能够检测并停止尝试。”

在隐私方面,许多“免费”应用都会展示有针对性的广告。因此,研究人员还使用Exodus移动隐私数据库中的信息来查找危险权限和广告跟踪器。

“在我们的分析中,dfndr是安全性最糟糕的罪犯,”该公司表示。“与应用程序捆绑在一起的广告追踪器数量令人印象深刻。据我们所知,dfndr将用户搜索和浏览器习惯放在每个广告交易平台上进行销售。”

根据分析,dfndr还请求访问精确位置数据,访问摄像头,读取和写入联系人,查看地址簿以及获取设备的IMEI(唯一ID)和电话号码的权限。

供应商没有立即回复评论请求。

研究人员表示,所发现的问题证明了 移动恶意软件 仍然不是一个高容量的威胁。

“在2018年,卡巴斯基实验室报告称它在Android和iOS设备上阻止了1.165亿次病毒和恶意软件感染; 这听起来像是一个巨大的数字,但根据他们的数字,去年美国只有10%的用户,加拿大的5%和英国的6%用户需要受到移动威胁的保护,“分析师解释说。“因此,有时供应商专注于添加功能以区分自己,而不是改进他们的代码库。他们显然并不总能做得很好。我们发现的每个漏洞都是与实际病毒扫描系统相关的。”

分享到:



《安卓应用加密》 《Unity3D手游加密》 《源代码加密》 《移动端的KiwiVM虚拟机》