可怕的“寄生獸”漏洞

據商城眾網獲悉，日前，360手機安全研究團隊vulpecker team，向補天漏洞響應平臺提交了其發現的安卓APP新型通用安全漏洞“寄生獸”，這個漏洞影響市面上數以千萬的APP，眾多流行APP也包括在內，影響范圍包括百度、騰訊、阿里等眾多廠商的移動產品。

“寄生獸”APK緩存劫持漏洞的核心有兩點，一是軟件開發者沒有考慮odex的安全問題，另外是沒有對zip解壓縮時的惡意文件名做檢測，所以防護上也應該從這方面做考慮。

由于安卓自身的安全缺陷，使其沒有對odex進行強校驗，所以會導致黑客對駐留在系統緩存里的odex文件注入惡意代碼。臨時解決方法就需要軟件開發者舍棄部分APP快速啟動的特性，每次啟動APP時先清空系統緩存里舊的、可能已經被病毒感染的odex文件，然后加載新的、沒有被病毒感染的odex文件。

APP在加載基礎模塊(比如APP皮膚文件等)時，默認所加載的zip文件是安全的，所以沒有安全掃描、驗證程序，這使得黑客可以藉此感染并潛藏到zip里，當APP進行解壓縮操作時，可以趁機進入APP內部，實現感染入侵。

利用該漏洞的攻擊者可以直接在用戶手機中植入木馬，盜取用戶的短信照片等個人隱私，盜取銀行、支付寶等賬號密碼等。目前補天已經將相關詳情通知給各大安全應急響應中心，并敦請廠商收到詳情及時自查，如果自家APP存在相關安全問題，需及時修復。

多名業內人士評價，按照風險評估，該漏洞的經濟價值難以估量。

（轉載至網絡，僅作為相關資訊的傳播普及目的，如果原作者發現內容的使用不符合本人意愿，請聯系本站作者或客服，將第一時間刪除處理）