Android设备安全影响整个企业数据泄露

安全 漏洞
DEF CON黑客大会上研究人员表示,谷歌Android的单点登录功能“weblogin”很方便,但可能让企业的谷歌应用程序受到威胁。

DEF CON黑客大会上研究人员表示,谷歌Android的单点登录功能“weblogin”很方便,但可能让企业的谷歌应用程序受到威胁。

Tripwire公司高级安全研究人员Craig Young发现多个攻击向量,允许攻击者通过一个Android设备入侵到受害者的谷歌云应用程序。这个漏洞也被称为“weblogin”,Android使用这个令牌来允许用户一次性登录所有谷歌服务,当攻击者获得这个weblogin令牌后,将可能获得对访问域控制面板的控制。

Young在DEF CON黑客大会上称:“我完全可以攻击Google Apps,只需要一个令牌。”Young此前曾延时了Android如何被用来绕过谷歌的两步骤身份验证,他表示,他一直很好奇Android与Google Apps结合使用的风险问题。

Android的weblogin功能基本上是使用cookies来访问谷歌服务,而不是密码。但是该功能带来方便的同时,也带来风险:如果攻击者使用它来访问域控制面板,那么,攻击者就可以重置密码,执行“数据转储”,并下载驱动文件。

“我进行这个令牌研究的原因是,我一年前购买了一个Android平板电脑,并发现Chrome会自动让我登录到谷歌的网站,这让我非常诧异。当时,我还没有意识到Google Apps控制面板可能这样被暴露:这真的是一个启示,”Young表示,“我现在已经用了一段时间的Google Apps,总是使用该管理员账号登陆。”

在意识到潜在的风险后,Young停止了这种做法,并启动了其最新研究。Young表示,防止这种攻击的最好方法是避免在Android设备上使用管理员账户,并对令牌请求保持怀疑态度。旨在可信赖应用商店和可信供应商购买应用程序,并运行杀毒软件来寻找根级漏洞利用。

他表示:“使用谷歌云计算的企业需要确保其IT管理员需要由管理员权限来访问Google Apps控制面板,而不是从其Android手机,如果从手机登陆,他们需要输入一个密码。”谷歌今年早些时候获知了Young的研究结果,谷歌还没有对Young的研究做出回应。

Young表示,“谷歌已经解决了一些问题,他们告诉我很快会解决这个问题,但还没有解决,他们需要阻止对Google Apps控制面板的访问。”

Young表示,攻击者可能访问Android用户的weblogin或者令牌,使用根级漏洞利用或者被感染的应用程序。“然后他们可以访问你的Gmail,阅读所有你的邮件和联系人信息,并重置你的账户密码,这是很可怕的事情,你可能都不会意识到别人在使用你的账户。”

即使攻击者不能得到管理员手机令牌,他仍然可以获得weblogin令牌,来访问Android用户已经访问的所有文件。Young测试发现,攻击者可以很容易的在谷歌Play商店中植入恶意应用程序。他创建了一个假冒的应用程序“Stock Viewer”,售价为150美元,一个月左右都未被发现,即使其描述这样写道“该应用程序提供对你的Google Stock Portfolio的快速访问,同时完全破坏你的隐私。如果你想要方便,而不是安全性,这款应用程序就是你的最好选择。该应用程序目前正在测试中,不能被任何人安装。”

该应用程序并不包含根级漏洞利用,但Young表示,如果有的话,他相信谷歌可能已经抓住了这个漏洞代码。即便如此,Play商店和苹果的应用商店并不是万无一失的。事实上,Young指出:“他们并没有及西宁源代码审查,他们只是查看二进制格式的东西。所以你不能依靠谷歌或苹果来确保应用的安全性。”

责任编辑:蓝雨泪 来源: IT168
相关推荐

2021-07-19 10:33:57

数据泄露漏洞黑客

2019-11-29 07:45:16

数据泄露攻击黑客

2013-10-15 10:32:00

2022-08-28 11:50:45

漏洞网络攻击

2018-03-09 10:51:08

2023-10-24 07:01:27

2012-04-16 13:43:49

2010-09-27 16:31:26

2020-07-16 17:28:56

数安法数据安全保护

2021-05-28 10:00:19

数据泄露印度航空数据安全

2021-07-05 05:31:02

数据泄露网络攻击股价

2014-09-29 10:41:07

MDMMIM企业移动安全

2023-08-04 14:20:09

2022-04-28 21:17:12

数据泄露勒索软件网络犯罪

2021-10-25 14:05:00

物联网安全设备

2015-03-17 09:49:52

无线安全移动安全

2010-03-02 16:21:02

Android设计平台

2021-04-28 11:13:18

信息泄露漏洞网络攻击

2011-03-10 15:21:13

2020-11-02 11:39:11

虚拟设备安全网络安全漏洞
点赞
收藏

51CTO技术栈公众号