安全研究專家在Google的V8 JavaScript引擎中發現了一個安全漏洞(BadKernel),該漏洞將會間接影響到Android智能手機的安全性。據估算,每十六臺Android手機中,就會有一臺受到BadKernel漏洞的影響。不僅如此,目前大部分熱門手機中都存在這個漏洞,例如LG、三星、摩托羅拉和華為等。
漏洞情況
實際上,安全研究專家在很久以前就發現了這個漏洞,并且這個漏洞在2015年的夏天也已經得到了修復。根據安全研究專家透露的信息,這個漏洞可以影響v3.20至v4.2版本的GoogleV8 JavaScript引擎。
盡管這個漏洞在一年多以前就已經被曝光了,但是在2016年的8月份,中國的安全研究專家們發現,如果運行了Android操作系統的設備部署了舊版本的V8引擎,那么這些設備的安全性仍然會受到該漏洞的影響。
漏洞利用
來自360的安全研究專家發現,如果目標設備中部署了包含漏洞的V8引擎,那么在2015年的那個V8引擎漏洞的幫助下,他們就可以利用包含漏洞的應用APP來在目標Android設備中執行惡意代碼。值得注意的是,就漏洞的利用難度而言,BadKernel漏洞與Stagefright差不多,該漏洞的利用過程同樣非常的簡單。
這個名為BadKernel的漏洞將允許攻擊者從用戶的Android設備中竊取隱私數據,獲取到用戶攝像頭的控制權,并且截獲短信消息。當然了,攻擊者能做的當然不僅僅只有這些,他們幾乎可以從目標設備中獲取到任何他們想要的數據。由于這個漏洞屬于遠程代碼執行(RCE)漏洞,攻擊者如果能夠成功利用這個漏洞,那么他們就可以獲取到目標Android智能手機的完整控制權。
因為攻擊者只需要通過在Web頁面中加載惡意內容便可以利用BadKernel漏洞實施攻擊,所以攻擊者在利用漏洞的過程中并不會遇到太大的困難。
受影響的APP
根據安全研究專家的推測,BadKernel漏洞將會影響大量其他的移動應用。Google在Chromium移動瀏覽器框架中部署了V8引擎,并且Chrome和Opera等移動端Web瀏覽器都使用了這一框架。
不僅如此,Android的WebView組件中同樣配置了V8引擎。移動開發人員可以在他們的應用程序中使用WebView組件,從而實現在應用程序中直接查看Web內容。目前,像微信、Facebook、Twitter、以及Gmail這樣的熱門應用都會使用WebView組件。而需要注意的是,從Android4.4.4到5.1版本的操作系統其默認自帶的WebView組件中都包含有該漏洞。
除此之外,有些軟件開發工具包(SDK)中同樣部署了自定義的V8引擎,例如TencentX5.SDK,而這些自定義的V8引擎中幾乎都包含有BadKernel漏洞。這也就意味著,使用這些SDK所開發出來的應用程序同樣會受到BadKernel漏洞的影響。不幸的是,這些受影響的應用程序基本上都是來自中國的移動端APP,例如QQ、QQ空間、京東客戶端、58同城、搜狐新聞、以及新浪新聞等等。
安全研究專家表示,目前仍然有大量長時間未更新的APP仍在使用包含漏洞的WebView組件。雖然最新的V8JavaScript引擎版本為v5.1,但是目前仍然有很多應用程序使用的是包含漏洞的V8引擎。這些“過期”的應用程序之所以會存在,要么是因為開發人員的懈怠,要么就是因為用戶沒有對這些程序進行更新。
盡管該漏洞在2016年的8月份就已經被曝光了,但是在這篇文章發稿之前,BadKernel漏洞仍然沒有得到其應有的關注度。
Trustlook移動安全公司的ClarkDong在一封寫給Softpedia的電子郵件中表示:
“由于BadKernel漏洞最初是由奇虎360公司的安全研究團隊所發現的,而針對該漏洞的初始研究報告也是用中文寫的,但是中文的漏洞報告對于其他國家的安全研究專家而言并不是那么好理解,所以這也就導致了美國和歐洲的安全研究人員對該漏洞的信息所知甚少。”
所有主要的智能手機供應商都會受到BadKernel漏洞的影響
Clark Dong所在的公司已經將目前受BadKernel漏洞影響的智能手機型號、Android操作系統版本、以及Web瀏覽器版本做成了一份列表并公布出來了。這份列表中包含目前大部分的大型廠商,從Alcatel到HTC,從聯想到索尼,這里只是簡單的列舉了一二。
Trustlook是一家專注于為Android移動設備提供反病毒解決方案的公司,Trustlook的安全研究人員利用遙測數據來從客戶設備中收集到了一些統計分析數據,并根據這些數據來估計出目前受影響的用戶總量。
該公司表示,目前大約有41.48%的三星智能手機會受到BadKernel漏洞的影響。不僅如此,市場上有38.89%的華為智能手機同樣會受到該漏洞的影響。除此之外,還有26.67%的摩托羅拉手機和21.93%的LG手機也會受到BadKernel漏洞的影響。
但是安全研究專家表示,受該漏洞影響最為嚴重的國家當屬秘魯,在秘魯平均每五臺Android智能手機中就有一臺存在BadKernel漏洞。受影響程度排在秘魯之后的國家依次為法國(14.7%)、尼日利亞(12.4%)、孟加拉(10.2%)和泰國(9.4%)。
四分之三的LG手機其內置瀏覽器中存在BadKernel漏洞
相同的遙測數據表明,受此漏洞影響最為嚴重的移動端瀏覽器是LG的內置Web瀏覽器(75%),其次是三星手機的內置瀏覽器(41%)。除了上述兩款瀏覽器之外,第三方移動瀏覽器GoogleChrome也會受到該漏洞的影響(11%)。
總結
為了避免自己的智能手機受到BadKernel攻擊,用戶應該及時更新移動設備中的應用程序。更重要的是,當供應商向用戶推送了Android操作系統更新包時,用戶應該盡量避免推遲安裝或拒絕安裝這類更新。
用戶可以通過訪問Trustlook的官方網站來查看自己的智能手機是否會受到該漏洞的影響。除此之外,用戶也可以安裝一個專門針對BadKernel漏洞的安全掃描程序來檢測設備的安全性。