NO.65 | 2020.03.31
banner
title開花結果 友善列印>>
Android手機內建軟體資安攻擊與風險_黃志安 副工程師

       隨著時代科技的進步,智慧型手機中更貼近民眾日常生活的應用服務越來越多,這些應用服務帶來便利的同時也存在了許多不同的資安風險。2018年DEFCON 資安會議,美國國土安全部挹注的Kryptowire行動資安服務公司發表了 Android 內建軟體與韌體中存在漏洞所帶來的風險,Kryptowire 分析多款高價與平價手機,發現多款有漏洞的Android 手機並提出警告。手機漏洞問題包含以系統用戶身份執行任意指令、獲得系統日誌(logcat)、清除手機上所有用戶數據(恢復原廠設定)、讀取與修改用戶的簡訊、任意發送簡訊與獲取聯絡人電話號碼等。而這些漏洞影響了25款Android手機,其中7款在臺灣有販售,表1僅列出在臺灣有販售之Android手機中的內建軟體或韌體框架中發現漏洞的機款。
 

廠牌 型號 漏洞影響描述
陸廠 V7
  1. 取得系統及logcat日誌寫入SD卡,可以針對用戶資料進行挖掘。
  2. 將系統屬性設置為com.android.phone獲得用戶觸控螢幕的資訊及藍芽紀錄。
  3. 記錄螢幕並將寫入應用程式專用目錄,最初會彈出通知與浮動圖示,但可以快速刪除圖示。
外廠 L1
  1. 螢幕截圖可用於檢查用戶通知訊息。
陸廠 F5
  1. 以系統使用者執行指令。
  2. 私自錄音並寫入SD卡。
外廠 TA-1025
  1. 螢幕截圖可用於檢查用戶通知訊息。
外廠 G6
  1. 將用戶鎖在自己的手機外,而用戶只能被迫回復原廠設定。
  2. 取得系統及logcat日誌寫入SD卡,可以針對用戶資料進行挖掘。
  3. 持續獲取第三方應用程式無法使用的logcat日誌,洩漏用戶敏感性資料。
台廠 3 Max
  1. 具有公開界面的內建App允許手機上的任何應用程式獲得錯誤報告(系統日誌、logcat日誌、系統服務儲存、Wi-Fi密碼與其他系統數據寫入SD卡、接收和撥打的電話號碼顯示在日誌中及發送和接收簡訊的電話號碼)。
  2. 任意安裝/刪除應用程式。
  3. 以系統使用者執行指令。
  4. 螢幕截圖可用於檢查用戶通知訊息。
V Live
  1. 以系統使用者執行指令。
 
表1 內建軟體漏洞影響之手機型號
資料來源:https://www.kryptowire.com/android-firmware-defcon-2018/ 本中心整理

 
 
  Kryptowire研究團隊假設一般用戶會在手機上額外安裝第三方應用程式,攻擊者便可以透過開放介面利用問題手機的軟體漏洞進行攻擊,透過重新包裝應用程式作為木馬應用程式,並將它們放在第三方應用程式市場,透過網路釣魚或社交工程等手法,誘使用戶安裝木馬應用程式後實現遠端利用漏洞進行攻擊。研究團隊發現其中一種有趣的攻擊方式是攻擊者與目標交朋友,並誘使用戶安裝木馬應用程式。
 
  Kryptowire研究發現漏洞要被攻擊都需要在手機上安裝惡意應用程式,才能進一步利用手機內建軟體中的漏洞進行攻擊,手機內建軟體本身的漏洞問題,大多不需要任何訪問權限即可被利用(例如:執行恢復原廠設定、發送簡訊、以系統用戶身份執行指令等),僅有2個應用程式需要使用adb(Android Debug Bridge)升級特權才能利用漏洞,這些漏洞會利用內建軟體常見的儲存數據權限READ_EXTERNAL_STORAGE存取數據並透INTERNET權限將獲得的數據傳送到遠端,由此可推測在許多漏洞皆可被直接利用的情形下,將存在許多可能的風險。

圖1 間接存取受保護的資源
資料參考:Vulnerable Out of the Box: An Evaluation of Android Carrier Devices 本中心整理
 
  Kryptowire研究團隊發現的各型號手機之漏洞已在共同弱點資料庫(CVE)發表,各家廠商已經針對這些漏洞進行修補,發送新的韌體與內建軟體更新。建議民眾不要至來路不明網站隨意安裝第三方應用程式,應於Android官方商店下載應用程式使用,並將內建軟體或韌體更新到最新版本,避免舊版韌體或內建軟體漏洞導致用戶敏感性資料外洩。