日前，谷歌批量修復(fù)了多個Android漏洞。由360發(fā)現(xiàn)的多個漏洞已被谷歌確認(rèn)并修復(fù)，同時谷歌也在公告中再度向360致謝。受到谷歌致謝的Android5.0屏幕錄制漏洞由于存在極大安全威脅，360近日也發(fā)布了詳細(xì)報告解析漏洞，避免漏洞被利用肆虐Android用戶。

360再受谷歌致謝 漏洞發(fā)現(xiàn)并非偶然

360互聯(lián)網(wǎng)安全中心日前發(fā)布的《Android5.0屏幕錄制漏洞（CVE-2015-3878）威脅預(yù)警》提到，低技術(shù)門檻的漏洞利用或木馬制作隱藏極大安全威脅，當(dāng)這種安全威脅遇上低安全意識的手機(jī)用戶時，則可能導(dǎo)致Android平臺惡意軟件大規(guī)模爆發(fā)。360互聯(lián)網(wǎng)安全中心此次向谷歌提交的漏洞完全能夠激發(fā)以上兩個條件，隨時可能大規(guī)模爆發(fā)。

《報告》作者李平一直認(rèn)為，Android平臺上能大規(guī)模感染用戶的手機(jī)病毒，并不是那些技術(shù)門檻很高、利用了很多核心技術(shù)的系統(tǒng)漏洞的病毒。

2014年肆虐Android平臺的“XX神器”、大規(guī)模感染用戶的“FakeTaobao木馬家族”、近來感染眾多用戶的“流量僵尸木馬”，都是此類低技術(shù)門檻的手機(jī)病毒。李平非常擅長分析病毒特點(diǎn)，并尋根溯源，通過共性發(fā)現(xiàn)漏洞，從而控制威脅的蔓延。根據(jù)這些病毒特點(diǎn)，在使用Android5.0的屏幕錄制功能時，李平非常敏感的發(fā)現(xiàn)了這個很容易被利用的UI漏洞。

利用漏洞可隨意盜取用戶網(wǎng)銀

李平介紹，利用該漏洞，攻擊者只需給惡意程序制造一段讀起來很“合理的”應(yīng)用程序名，就可以將Android5.0錄屏功能的提示框變成一個UI陷阱，使其失去原有的“錄屏授權(quán)”提示功能，惡意程序能夠在用戶不知情的情況下錄制用戶手機(jī)屏幕。

由此演變，這一漏洞對用戶個人隱私及財產(chǎn)安全構(gòu)成極大威脅。《報告》中，360團(tuán)隊針對某銀行客戶端（Android版）編寫了一款漏洞測試樣本，通過樣本演示了如何利用該漏洞。一旦APP名稱被無限加長，手機(jī)用戶就極難發(fā)現(xiàn)自己點(diǎn)擊同意的是錄制屏幕，惡意軟件作惡方式極其隱蔽。

如用戶在啟動銀行客戶端后，該程序會發(fā)動錄制屏幕請求，而通過事先代碼編寫，提示框會顯示大段仿冒的銀行風(fēng)險提示。實際上，真實的提示消息完全被大量的“仿冒”提示掩蓋，“將開始截取您的屏幕上顯示的所有內(nèi)容”這種風(fēng)險提示則很難被發(fā)現(xiàn)。

如此，黑客便能從后臺錄制用戶的一切操作，這樣能夠成功竊取用戶在登錄該銀行客戶端時輸入的銀行賬號及密碼。不僅如此，《報告》中也分析指出，利用此漏洞的木馬還可以輕而易舉的獲取用戶QQ、微信等任何想要監(jiān)控的軟件用戶名及密碼，且能夠掌握任何手機(jī)界面的操作情況。

99.9%的Android軟件受漏洞影響

360《報告》評估后表明，對于該漏洞，約99.9%的Android軟件都沒有抵御潛在威脅的能力；國內(nèi)的234款手機(jī)銀行、信用卡客戶端軟件中，96.2%的軟件遇到此類威脅時無法保證用戶賬戶信息安全性；檢測發(fā)現(xiàn)，國內(nèi)主流社交軟件無一能夠抵抗這種潛在威脅；16款主流電商及支付類應(yīng)用均不能抵抗其威脅。

《報告》中還提出了防范建議和漏洞補(bǔ)丁說明，以免漏洞被利用致Android用戶受到威脅。此次由360互聯(lián)網(wǎng)安全中心發(fā)現(xiàn)的漏洞，已被谷歌確認(rèn)為中危漏洞并進(jìn)行了修復(fù)。為此，谷歌在公告中也再度向360致謝。

除了谷歌之外，360因發(fā)現(xiàn)并協(xié)助修復(fù)漏洞還獲得來了微軟、蘋果、Adobe等巨頭的致謝。其中，8月14日，360安全團(tuán)隊向蘋果提交的兩個漏洞也被確認(rèn)并修復(fù)，并獲得蘋果公開致謝;自2009年以來，360已累計86次獲微軟安全公告致謝，在全球安全軟件廠商中排名首位。