演示表明,隐藏在一款壁纸软件中的可疑代码能够从被感染的手机上收集各种个人信息,并将这些信息发送给一家据说在中国的网站。除此之外,来自Lookout移动安全公司的研究人员还找到了一种可以彻底控制Android手机的方法,这些手机甚至包括由主要的无线运营商主推的各种顶级手机。
Lookout的CEO John Herring称,已被下载数百万次的Jackeey墙纸应用可收集手机中的电话号码本、用户身份信息,以及可编程的语音邮箱号码等。
在另一个演示中,研究人员称,运营商(如Sprint和Verizon)主推的一些Android手机可通过攻击Android底层Linux系统中的已知漏洞而被完全控制。Lookout移动安全公司的研究人员Anthony Lineberry说,“利用这些漏洞,你可以从根上空乃至该手机,让它做你想要它做的任何事情。”
Lineberry称,Android手机在安全方面的声望可能是被夸大了。“虽说Android在前不久的pwn2own黑客大赛上得以幸免,但这并不表明它就是安全的。”
通过用户从Android应用商店下载或购买的Android应用来分发恶意软件,其最佳的方式就是利用所谓的CVE-2009 1185漏洞。安装这些设了陷阱的应用就能够对被感染的手机进行根控制,Lineberry说。“根在Linux语境中就是一种无所不能的主宰模式。一旦你拥有了根,那你就拥有了系统的特权。”
CVE-2009 1185漏洞被发现已有一年多时间,而且发布过补丁,但是迄今为止,很多无线运营商却并没有分发过这个补丁。Lookout实验室已经成功地利用根控制手段控制了EVO 4G(Sprint)、Droid X(Verizon)、Droid Incredible(Verizon)以及老款的G1和Hero等手机,Lineberry说。
但是根据Lookout的另一位研究人员Tim Wyatt的说法,要想执行由Kackeey壁纸应用所携带的攻击类型,根控制并非必须。为了使用手机上的一些功能,有些应用需要获得一些许可授权,而这些授权是可以被利用的。举个例子,某个应用会告诉客户,要想查找离你最近的餐馆,就需要访问手机的GPS功能等等。
在销售这些应用时,开发者必须列出所有该应用运行时所需要的许可授权,而客户则必须在允许了这些授权之后有能力注销这些授权。如果某个发送短信息的应用要求互联网接入的授权,那它就很可疑,客户或许就应该取消购买该应用。
但是有些授权听上去似乎是无害的,Wyatt说,客户可能并不了解诸如“导入Android日志”的授权是什么意思,可能会以为这没什么大碍,但是日志却可以披露诸如浏览历史、密码、手机号码以及其他大量的个人信息。
带互联网许可授权要求的恶意应用可能会在后台悄悄发送数据。
因此Lineberry建议,用户防范此类恶意应用的最好办法就是在购买时要十分小心,一旦发现有任何觉得可疑的地方,就不要下载。
Lookout公司还进行了一项被称作应用基因的项目研究,以检查Android和iPhone应用所要求的许可授权,以及利用这些授权可能进行何种可疑行为。一个应用可以合法地使用某些授权,但是在黑客手中,合法使用也可能引来伤害。
Android中的授权系统允许应用去利用其他的资源,所以如果某个应用未经授权便访问互联网,那它就有可能是要使用网上的某个应用,从而利用互联网进行可疑活动。