根据国外媒体的最新报道,安全研究专家在google的v8 javascript引擎中发现了一个安全漏洞(badkernel),该漏洞将会间接影响到android智能手机的安全性。据估算,每十六台android手机中,就会有一台受到badkernel漏洞的影响。不仅如此,目前大部分热门手机中都存在这个漏洞,例如lg、三星、摩托罗拉和华为等。
漏洞情况
实际上,安全研究专家在很久以前就发现了这个漏洞,并且这个漏洞在2015年的夏天也已经得到了修复。根据安全研究专家透露的信息,这个漏洞可以影响v3.20至v4.2版本的googlev8 javascript引擎。
尽管这个漏洞在一年多以前就已经被曝光了,但是在2016年的8月份,中国的安全研究专家们发现,如果运行了android操作系统的设备部署了旧版本的v8引擎,那么这些设备的安全性仍然会受到该漏洞的影响。
漏洞利用
来自360的安全研究专家发现,如果目标设备中部署了包含漏洞的v8引擎,那么在2015年的那个v8引擎漏洞的帮助下,他们就可以利用包含漏洞的应用app来在目标android设备中执行恶意代码。值得注意的是,就漏洞的利用难度而言,badkernel漏洞与stagefright差不多,该漏洞的利用过程同样非常的简单。
这个名为badkernel的漏洞将允许攻击者从用户的android设备中窃取隐私数据,获取到用户摄像头的控制权,并且截获短信消息。当然了,攻击者能做的当然不仅仅只有这些,他们几乎可以从目标设备中获取到任何他们想要的数据。由于这个漏洞属于远程代码执行(rce)漏洞,攻击者如果能够成功利用这个漏洞,那么他们就可以获取到目标android智能手机的完整控制权。
因为攻击者只需要通过在web页面中加载恶意内容便可以利用badkernel漏洞实施攻击,所以攻击者在利用漏洞的过程中并不会遇到太大的困难。
受影响的app
根据安全研究专家的推测,badkernel漏洞将会影响大量其他的移动应用。google在chromium移动浏览器框架中部署了v8引擎,并且chrome和opera等移动端web浏览器都使用了这一框架。
不仅如此,android的webview组件中同样配置了v8引擎。移动开发人员可以在他们的应用程序中使用webview组件,从而实现在应用程序中直接查看web内容。目前,像微信、facebook、twitter、以及gmail这样的热门应用都会使用webview组件。而需要注意的是,从android4.4.4到5.1版本的操作系统其默认自带的webview组件中都包含有该漏洞。
除此之外,有些软件开发工具包(sdk)中同样部署了自定义的v8引擎,例如tencentx5.sdk,而这些自定义的v8引擎中几乎都包含有badkernel漏洞。这也就意味着,使用这些sdk所开发出来的应用程序同样会受到badkernel漏洞的影响。不幸的是,这些受影响的应用程序基本上都是来自中国的移动端app,例如qq、qq空间、京东客户端、58同城、搜狐新闻、以及新浪新闻等等。
安全研究专家表示,目前仍然有大量长时间未更新的app仍在使用包含漏洞的webview组件。虽然最新的v8javascript引擎版本为v5.1,但是目前仍然有很多应用程序使用的是包含漏洞的v8引擎。这些“过期”的应用程序之所以会存在,要么是因为开发人员的懈怠,要么就是因为用户没有对这些程序进行更新。
尽管该漏洞在2016年的8月份就已经被曝光了,但是在这篇文章发稿之前,badkernel漏洞仍然没有得到其应有的关注度。
trustlook移动安全公司的clarkdong在一封写给softpedia的电子邮件中表示:
“由于badkernel漏洞最初是由奇虎360公司的安全研究团队所发现的,而针对该漏洞的初始研究报告也是用中文写的,但是中文的漏洞报告对于其他国家的安全研究专家而言并不是那么好理解,所以这也就导致了美国和欧洲的安全研究人员对该漏洞的信息所知甚少。”
所有主要的智能手机供应商都会受到badkernel漏洞的影响
clark dong所在的公司已经将目前受badkernel漏洞影响的智能手机型号、android操作系统版本、以及web浏览器版本做成了一份列表并公布出来了【点我获取】。这份列表中包含目前大部分的大型厂商,从alcatel到htc,从联想到索尼,这里只是简单的列举了一二。
trustlook是一家专注于为android移动设备提供反病毒k8凯发游戏的解决方案的公司,trustlook的安全研究人员利用遥测数据来从客户设备中收集到了一些统计分析数据,并根据这些数据来估计出目前受影响的用户总量。
该公司表示,目前大约有41.48%的三星智能手机会受到badkernel漏洞的影响。不仅如此,市场上有38.89%的华为智能手机同样会受到该漏洞的影响。除此之外,还有26.67%的摩托罗拉手机和21.93%的lg手机也会受到badkernel漏洞的影响。
但是安全研究专家表示,受该漏洞影响最为严重的国家当属秘鲁,在秘鲁平均每五台android智能手机中就有一台存在badkernel漏洞。受影响程度排在秘鲁之后的国家依次为法国(14.7%)、尼日利亚(12.4%)、孟加拉(10.2%)和泰国(9.4%)。
四分之三的lg手机其内置浏览器中存在badkernel漏洞
相同的遥测数据表明,受此漏洞影响最为严重的移动端浏览器是lg的内置web浏览器(75%),其次是三星手机的内置浏览器(41%)。除了上述两款浏览器之外,第三方移动浏览器googlechrome也会受到该漏洞的影响(11%)。
总结
为了避免自己的智能手机受到badkernel攻击,用户应该及时更新移动设备中的应用程序。更重要的是,当供应商向用户推送了android操作系统更新包时,用户应该尽量避免推迟安装或拒绝安装这类更新。
用户可以通过访问trustlook的官方网站来查看自己的智能手机是否会受到该漏洞的影响。除此之外,用户也可以安装一个专门针对badkernel漏洞的安全扫描程序来检测设备的安全性。
试用申请