|
|
InMobi近日被曝出了安全漏洞。InMobi是全球数一数二的移动广告公司,开发者通过在移动App中整合InMobi SDK来集成广告,以便获得收入。仅在亚太地区,InMobi覆盖的用户数量已经超过4亿。 如今InMobi被曝出漏洞,这意味着大量手机中的一些应用程序已经变成了潜在的后门程序。
安全漏洞说明
这个漏洞源于InMobi使用的一个名为addJavascriptInterface的Android API,该API的作用是将Java对象中的方法暴露给WebView中加载的内容。
自Android 4.2之后,addJavascriptInterface有一个机制来限制哪些方法可以通过JavaScript代码从WebView中访问Java对象方法, 但这种限制不存在于之前的Android版本, 目前大约80%的设备还运行着Android 4.2之前的版本。
InMobi自从2.5.0版本之后就一直使用addJavascriptInterface,从3.6.2版本之后开始使用@JavascriptInterface约束机制,这是一种安全机制,但是副作用是带来了更多的不安全性。
InMobi SDK中所暴露的方法包括:createCalendarEvent、makeCall、postToSocial、sendMail、sendSMS、takeCameraPicture、getGalleryImage、and registerMicListener。 安全公司FireEye研究员称 ,这本质上等于InMobi在应用中开了一个后门。
再者,InMobi在WebView中加载内容是通过HTTP,而不是通过HTTPS,传输未经过加密,这意味着任何攻击者都可以拦截传输内容,并注入JavaScript代码,以便访问暴露的功能。
带来的风险
尽管每个Android应用在安装时都会显示所需要的权限,比如查看通讯录、获取位置、获取相册、通话记录等,但是大部分人不会去留意,也不会在意。
FireEye研究人员称, 通过InMobi的这个漏洞,攻击者可以通过有权限的应用程序来拨打电话,或者针对特定号码发起电话分布式拒绝服务(T-DDoS) 。而一些功能是不需要应用程序有特殊权限的,比如发布到社交网络、发送短消息、创建日历事件或拍照等。
波及范围
FireEye报告这一漏洞后,InMobi发布了SDK 4.4版本,规定应用程序拨出电话之前需要用户确认。但是,该版本中仍存在暴露storePicture方法的潜在危险,该方法可用于保存网上下载的文件到设备中。
FireEye表示,目前已经检测到Google Play中有超过2000个应用包含了有漏洞的InMobi版本,而这些应用的总下载量已经超过10万次。 |
|
|小黑屋|手机版|中国白客联盟-BUC
( 赣ICP备15007148号-6 ) 
窥视卡
雷达卡
发表于 2013-12-3 16:25:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡