Android设备安全影响整个企业数据泄露

作者：邹铮/译 2013-08-20 14:59:58安全 漏洞 DEF CON黑客大会上研究人员表示，备安谷歌Android的全影单点登录功能“weblogin”很方便，但可能让企业的响整谷歌应用程序受到威胁。

DEF CON黑客大会上研究人员表示，个企谷歌Android的业数单点登录功能“weblogin”很方便，但可能让企业的据泄谷歌应用程序受到威胁。

Tripwire公司高级安全研究人员Craig Young发现多个攻击向量，备安允许攻击者通过一个Android设备入侵到受害者的全影谷歌云应用程序。这个漏洞也被称为“weblogin”，响整Android使用这个令牌来允许用户一次性登录所有谷歌服务，个企当攻击者获得这个weblogin令牌后，业数将可能获得对访问域控制面板的据泄控制。

Young在DEF CON黑客大会上称：“我完全可以攻击Google Apps，备安只需要一个令牌。全影”Young此前曾延时了Android如何被用来绕过谷歌的响整两步骤身份验证，他表示，他一直很好奇Android与Google Apps结合使用的风险问题。

Android的weblogin功能基本上是使用cookies来访问谷歌服务，而不是密码。但是该功能带来方便的同时，也带来风险：如果攻击者使用它来访问域控制面板，那么，攻击者就可以重置密码，执行“数据转储”，并下载驱动文件。

“我进行这个令牌研究的原因是，我一年前购买了一个Android平板电脑，并发现Chrome会自动让我登录到谷歌的网站，这让我非常诧异。当时，我还没有意识到Google Apps控制面板可能这样被暴露：这真的是一个启示，”Young表示，“我现在已经用了一段时间的Google Apps，总是使用该管理员账号登陆。”

在意识到潜在的风险后，Young停止了这种做法，并启动了其最新研究。Young表示，防止这种攻击的最好方法是避免在Android设备上使用管理员账户，并对令牌请求保持怀疑态度。旨在可信赖应用商店和可信供应商购买应用程序，并运行杀毒软件来寻找根级漏洞利用。

他表示：“使用谷歌云计算的企业需要确保其IT管理员需要由管理员权限来访问Google Apps控制面板，而不是从其Android手机，如果从手机登陆，他们需要输入一个密码。”谷歌今年早些时候获知了Young的研究结果，谷歌还没有对Young的研究做出回应。

Young表示，“谷歌已经解决了一些问题，他们告诉我很快会解决这个问题，但还没有解决，他们需要阻止对Google Apps控制面板的访问。”

Young表示，攻击者可能访问Android用户的weblogin或者令牌，使用根级漏洞利用或者被感染的应用程序。“然后他们可以访问你的Gmail，阅读所有你的邮件和联系人信息，并重置你的账户密码，这是很可怕的事情，你可能都不会意识到别人在使用你的账户。”

即使攻击者不能得到管理员手机令牌，他仍然可以获得weblogin令牌，来访问Android用户已经访问的所有文件。Young测试发现，攻击者可以很容易的在谷歌Play商店中植入恶意应用程序。他创建了一个假冒的应用程序“Stock Viewer”，售价为150美元，一个月左右都未被发现，即使其描述这样写道“该应用程序提供对你的Google Stock Portfolio的快速访问，同时完全破坏你的隐私。如果你想要方便，而不是安全性，这款应用程序就是你的最好选择。该应用程序目前正在测试中，不能被任何人安装。”

该应用程序并不包含根级漏洞利用，但Young表示，如果有的话，他相信谷歌可能已经抓住了这个漏洞代码。即便如此，Play商店和苹果的应用商店并不是万无一失的。事实上，Young指出：“他们并没有及西宁源代码审查，他们只是查看二进制格式的东西。所以你不能依靠谷歌或苹果来确保应用的安全性。”

责任编辑：蓝雨泪 来源： IT168 企业数据泄露webloginAndroid

(责任编辑：热点)