IBM旗下X-Force應(yīng)用安全研究團(tuán)隊(duì)的研究人員，在Android和某些熱門(mén)應(yīng)用的SDK上發(fā)現(xiàn)了一套漏洞。其中最糟糕的竟然可以讓一個(gè)看似無(wú)害的應(yīng)用在設(shè)備上運(yùn)行任意代碼，并且影響全球55%的Android設(shè)備(版本4.3及以上)。該團(tuán)隊(duì)在視頻中進(jìn)行了概念驗(yàn)證，并且成功替換了設(shè)備上的Facebook app。

據(jù)悉，Google和SDK的開(kāi)發(fā)商均以提供了軟件補(bǔ)丁，但考慮到非Nexus設(shè)備的更新推送工作必須通過(guò)原始設(shè)備制造商(OEM)或運(yùn)營(yíng)商進(jìn)行，所以當(dāng)前絕大多數(shù)用戶(hù)仍面臨相當(dāng)大的風(fēng)險(xiǎn)。

研究人員表示，目前暫未在外界看到任何利用該漏洞的情況，但情況很可能在任何時(shí)刻發(fā)生改變。

該漏洞主要?dú)w咎于Android在進(jìn)程間通訊（IPC）時(shí)的薄弱代碼，更具體點(diǎn)說(shuō)就是OpenSSLX509Certificate類(lèi)。

攻擊者可以在無(wú)需特殊權(quán)限的情況下，利用該漏洞將惡意代碼諸如到IPC請(qǐng)求隊(duì)列中，如此一來(lái)，該應(yīng)用就能夠獲得系統(tǒng)級(jí)的權(quán)限。

研究人員在某些應(yīng)用的SDK中也發(fā)現(xiàn)了類(lèi)似漏洞，在調(diào)查的37701款app中，有許多都涉及這方面，甚至有些應(yīng)用依賴(lài)于高達(dá)6個(gè)的風(fēng)險(xiǎn)SDK。

通過(guò)一款名叫SWIG的低級(jí)別工具包，攻擊者可以很輕松地向目標(biāo)注入代碼。在這種情況下，惡意應(yīng)用可以假借某個(gè)脆弱的app之手獲取相同的權(quán)限，甚至完全訪(fǎng)問(wèn)該應(yīng)用的程序、數(shù)據(jù)和功能。

有關(guān)這些漏洞的詳情，已經(jīng)發(fā)表在IBM Security的研究論文上（PDF傳送門(mén)）