搜索
查看: 2562|回复: 0

InMobi SDK曝出漏洞,可致Android设备成“肉鸡”

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2013-12-3 16:25:57 来自手机 | 显示全部楼层 |阅读模式
InMobi近日被曝出了安全漏洞。InMobi是全球数一数二的移动广告公司,开发者通过在移动App中整合InMobi SDK来集成广告,以便获得收入。仅在亚太地区,InMobi覆盖的用户数量已经超过4亿。 如今InMobi被曝出漏洞,这意味着大量手机中的一些应用程序已经变成了潜在的后门程序。



安全漏洞说明

这个漏洞源于InMobi使用的一个名为addJavascriptInterface的Android API,该API的作用是将Java对象中的方法暴露给WebView中加载的内容。

自Android 4.2之后,addJavascriptInterface有一个机制来限制哪些方法可以通过JavaScript代码从WebView中访问Java对象方法, 但这种限制不存在于之前的Android版本, 目前大约80%的设备还运行着Android 4.2之前的版本。

InMobi自从2.5.0版本之后就一直使用addJavascriptInterface,从3.6.2版本之后开始使用@JavascriptInterface约束机制,这是一种安全机制,但是副作用是带来了更多的不安全性。

InMobi SDK中所暴露的方法包括:createCalendarEvent、makeCall、postToSocial、sendMail、sendSMS、takeCameraPicture、getGalleryImage、and registerMicListener。 安全公司FireEye研究员称 ,这本质上等于InMobi在应用中开了一个后门。

再者,InMobi在WebView中加载内容是通过HTTP,而不是通过HTTPS,传输未经过加密,这意味着任何攻击者都可以拦截传输内容,并注入JavaScript代码,以便访问暴露的功能。

带来的风险

尽管每个Android应用在安装时都会显示所需要的权限,比如查看通讯录、获取位置、获取相册、通话记录等,但是大部分人不会去留意,也不会在意。

FireEye研究人员称, 通过InMobi的这个漏洞,攻击者可以通过有权限的应用程序来拨打电话,或者针对特定号码发起电话分布式拒绝服务(T-DDoS) 。而一些功能是不需要应用程序有特殊权限的,比如发布到社交网络、发送短消息、创建日历事件或拍照等。

波及范围

FireEye报告这一漏洞后,InMobi发布了SDK 4.4版本,规定应用程序拨出电话之前需要用户确认。但是,该版本中仍存在暴露storePicture方法的潜在危险,该方法可用于保存网上下载的文件到设备中。

FireEye表示,目前已经检测到Google Play中有超过2000个应用包含了有漏洞的InMobi版本,而这些应用的总下载量已经超过10万次。
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表