close
Blogtrottr
UDN數位資訊
數位資訊:收錄每日資訊科技相關新聞,提供3C、軟體、手機、電玩、網路……等各類報導,並進一步關注在數位化的社會文明發展過程中,所衍生的各種文化現象。 
Android一鍵登入Google 個資曝露危險
Aug 6th 2013, 05:37

Android 中潛危機四伏,現在又有消息指出方便的一鍵登入 Google 功能,將讓企業和個人曝露在安全風險中。

在 Android 中,使用者可在利用 Google 帳號登入系統後,就自動登入各式 Google 服務。不過根據一位資安研究者在 Defcon 會議中的說法,這個功能有可能被惡意程式利用,讓駭客可以取得使用者的 Google 帳號權限。

這個功能稱為「weblogin」,它會產生一組獨特的安全代符(token),以在 Google 網站直接使用設定在系統中的資訊取得認證。根據資安研究者 Craig Young 在會議中表示,Weblogin 可以讓使用者有更好的使用體驗,不過可能對隱私和個人與企業 Google 帳號的資訊安全造成風險。

Craig Young 創造了一個證明用的惡意程式,實作了駭客可以竊取 weblogin 的安全代符,並將其傳送給攻擊者,接著他就可以利用這個安全代符透過瀏覽器偽裝是受害者,以登入 Google Apps、Gmail、Google Drive、Google Calendar、Google Voice 和其他 Google 服務。而且多數知名的 Android 資安軟體都無法偵測到這個漏洞。

Craig Young 將其所創造的程式偽裝成 Google Finance 的股票觀察軟體,並在 Google Play 上架,不過在程式描述中,清楚地指出這是惡意程式,任何使用者都不應該安裝它。

在安裝期間,這個程式會要求在裝置上尋找帳號、使用帳號和連接網路的許可,一旦執行,它會顯示另一個要求,希望能存取以 weblogin 開頭,並包含 finance.google.com 的網址。Craig Young 表示第二個要求並未透露太多資訊,大多數使用者會接受這個要求。

如果使用者接受了要求,就會產生一個 weblogin 安全代符,使用者可以自動登入 Gogole Finance 網站。不過同時這個安全代符也已經透過加密連線送到攻擊者所控制的伺服器上。問題是這個安全代符不但可以用在 Google Finance 上,也適用於所有 Google 服務。

攻擊者接著可以利用這個安全代符登入所有 Google 服務,包含 Google Play,這也表示攻擊者可以遠端安裝程式到使用者的裝置。同時也可以登入任何支援 Google 帳號登入的第三方服務。

如果受害者是 Google Apps 網域的管理者,攻擊者可以入侵整個公司的 Google Apps 運作,例如為其他使用者重設密碼、建立或修改權限和角色、建立或修改郵件寄送清單,甚至創造具管理者權限的新使用者。

這個安全問題已在 2 月提交給 Google,而該公司正開始阻擋一些攻擊者可以進行的工作。例如利用安全代符登入 Google 服務的攻擊者無法使用 Google Takeout 以備份下載整個 Google 帳號的資料,也無法新增 Google Apps 使用者。不過 Craig Young 表示仍有一些方式可以達成後者的工作。

Craig Young 的程式會顯示權限要求是因為他使用了標準的 Android api 以獲得安全代符。如果該程式利用破解方式獲得裝置上的 root 權限,就不需要使用者的確認就可以獲得安全代符。

該程式登上 Google Play 近一個月才有使用者回報其為惡意程式。在這期間,這個程式並未讓 Google Play 掃瞄惡意程式的機制 Bouncer 掃瞄到。如果被掃瞄到了,Bouncer 也未將其標記為惡意程式。Craig Young 表示這讓人懷疑 Bouncer 的可靠性。

Craig Young 表示企業不應該讓 IT 管理者利用具 Google Apps 網域管理身份的 Google 帳號登入自己的 Android 裝置。而使用者應該注意要求裝置中的帳號存取權限的程式,並應該在確認要求時,否決任何具有「weblogin」和使用者帳號字樣的權限。

而 Google 應該提供 Google Apps 網域所有者拒絕透過 weblogin 登入 Google Apps 的選項。而且應該讓 weblogin 的確認訊息更明確,以讓使用者清楚他們到底有什麼功能。

Source

‧VR-Zone中文站原文出處

This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers. Five Filters recommends: 'You Say What You Like, Because They Like What You Say' - http://www.medialens.org/index.php/alerts/alert-archive/alerts-2013/731-you-say-what-you-like-because-they-like-what-you-say.html
You are receiving this email because you subscribed to this feed at blogtrottr.com.

If you no longer wish to receive these emails, you can unsubscribe from this feed, or manage all your subscriptions
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 chinjie444 的頭像
    chinjie444

    手機推薦App@3C科技資訊

    chinjie444 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄