关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 会员商城 | 360手机官网 | 社区客户端

推荐论坛版块活动众测会员商城福利换券
日前,谷歌批量修复了多个Android漏洞。由360发现的多个漏洞已被谷歌确认并修复,同时谷歌也在公告中再度向360致谢。受到谷歌致谢的Android5.0屏幕录制漏洞由于存在极大安全威胁,360近日也发布了详细报告解析漏洞,避免漏洞被利用肆虐Android用户。
360再受谷歌致谢 漏洞发现并非偶然
360互联网安全中心日前发布的《Android5.0屏幕录制漏洞(CVE-2015-3878)威胁预警》提到,低技术门槛的漏洞利用或木马制作隐藏极大安全威胁,当这种安全威胁遇上低安全意识的手机用户时,则可能导致Android平台恶意软件大规模爆发。360互联网安全中心此次向谷歌提交的漏洞完全能够激发以上两个条件,随时可能大规模爆发。
《报告》作者李平一直认为,Android平台上能大规模感染用户的手机病毒,并不是那些技术门槛很高、利用了很多核心技术的系统漏洞的病毒。
2014年肆虐Android平台的“XX神器”、大规模感染用户的“FakeTaobao木马家族”、近来感染众多用户的“流量僵尸木马”,都是此类低技术门槛的手机病毒。李平非常擅长分析病毒特点,并寻根溯源,通过共性发现漏洞,从而控制威胁的蔓延。根据这些病毒特点,在使用Android5.0的屏幕录制功能时,李平非常敏感的发现了这个很容易被利用的UI漏洞。
利用漏洞可随意盗取用户网银
李平介绍,利用该漏洞,攻击者只需给恶意程序制造一段读起来很“合理的”应用程序名,就可以将Android5.0录屏功能的提示框变成一个UI陷阱,使其失去原有的“录屏授权”提示功能,恶意程序能够在用户不知情的情况下录制用户手机屏幕。
1.jpg
图1:360专家分析漏洞原理
由此演变,这一漏洞对用户个人隐私及财产安全构成极大威胁。《报告》中,360团队针对某银行客户端(Android版)编写了一款漏洞测试样本,通过样本演示了如何利用该漏洞。一旦APP名称被无限加长,手机用户就极难发现自己点击同意的是录制屏幕,恶意软件作恶方式极其隐蔽。
1.jpg
图2:360专家测试 漏洞如何被利用
如用户在启动银行客户端后,该程序会发动录制屏幕请求,而通过事先代码编写,提示框会显示大段仿冒的银行风险提示。实际上,真实的提示消息完全被大量的“仿冒”提示掩盖,“将开始截取您的屏幕上显示的所有内容”这种风险提示则很难被发现。
如此,黑客便能从后台录制用户的一切操作,这样能够成功窃取用户在登录该银行客户端时输入的银行账号及密码。不仅如此,《报告》中也分析指出,利用此漏洞的木马还可以轻而易举的获取用户QQ、微信等任何想要监控的软件用户名及密码,且能够掌握任何手机界面的操作情况。
1.jpg
图3:360《报告》提示防范建议 避免Android用户受威胁
99.9%的Android软件受漏洞影响
360《报告》评估后表明,对于该漏洞,约99.9%的Android软件都没有抵御潜在威胁的能力;国内的234款手机银行、信用卡客户端软件中,96.2%的软件遇到此类威胁时无法保证用户账户信息安全性;检测发现,国内主流社交软件无一能够抵抗这种潜在威胁;16款主流电商及支付类应用均不能抵抗其威胁。
1.jpg
图4:360专家评估漏洞风险
《报告》中还提出了防范建议和漏洞补丁说明,以免漏洞被利用致Android用户受到威胁。此次由360互联网安全中心发现的漏洞,已被谷歌确认为中危漏洞并进行了修复。为此,谷歌在公告中也再度向360致谢。
除了谷歌之外,360因发现并协助修复漏洞还获得来了微软、苹果、Adobe等巨头的致谢。其中,8月14日,360安全团队向苹果提交的两个漏洞也被确认并修复,并获得苹果公开致谢;自2009年以来,360已累计86次获微软安全公告致谢,在全球安全软件厂商中排名首位。
1.png
《Android5.0屏幕录制漏洞(CVE-2015-3878)威胁预警》地址:http://zt.360.cn/1101061855.php? ... &did=1101452330

共 1 个关于谷歌致谢360发现Android5.0录屏漏洞 近十成软件受影响的回复 最后回复于 2015-10-19 16:35

评论

直达楼层

360fans377042164 游客 发表于 2015-10-19 16:35 | 显示全部楼层 | 私信
支持一下!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:161 关注:12 积分:152754

精华:291 金币:174862 经验:122053

最后登录时间:2020-1-21

360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章 360会员商城青铜会员

私信 加好友

最新活动

晒图活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,回复:抽奖,每周抽一个锦鲤大奖,等啥呢?扫它!!!

        快速回复 返回顶部 返回列表