阅读更多
InMobi近日被曝出了安全漏洞。InMobi是全球数一数二的移动广告公司,开发者通过在移动App中整合InMobi SDK来集成广告,以便获得收入。仅在亚太地区,InMobi覆盖的用户数量已经超过4亿。如今InMobi被曝出漏洞,这意味着大量手机中的一些应用程序已经变成了潜在的后门程序。



安全漏洞说明

这个漏洞源于InMobi使用的一个名为addJavascriptInterface的Android API,该API的作用是将Java对象中的方法暴露给WebView中加载的内容。

自Android 4.2之后,addJavascriptInterface有一个机制来限制哪些方法可以通过JavaScript代码从WebView中访问Java对象方法,但这种限制不存在于之前的Android版本,目前大约80%的设备还运行着Android 4.2之前的版本。

InMobi自从2.5.0版本之后就一直使用addJavascriptInterface,从3.6.2版本之后开始使用@JavascriptInterface约束机制,这是一种安全机制,但是副作用是带来了更多的不安全性。

InMobi SDK中所暴露的方法包括:createCalendarEvent、makeCall、postToSocial、sendMail、sendSMS、takeCameraPicture、getGalleryImage、and registerMicListener。安全公司FireEye研究员称这本质上等于InMobi在应用中开了一个后门。

再者,InMobi在WebView中加载内容是通过HTTP,而不是通过HTTPS,传输未经过加密,这意味着任何攻击者都可以拦截传输内容,并注入JavaScript代码,以便访问暴露的功能。

带来的风险

尽管每个Android应用在安装时都会显示所需要的权限,比如查看通讯录、获取位置、获取相册、通话记录等,但是大部分人不会去留意,也不会在意。

FireEye研究人员称,通过InMobi的这个漏洞,攻击者可以通过有权限的应用程序来拨打电话,或者针对特定号码发起电话分布式拒绝服务(T-DDoS)。而一些功能是不需要应用程序有特殊权限的,比如发布到社交网络、发送短消息、创建日历事件或拍照等。

波及范围

FireEye报告这一漏洞后,InMobi发布了SDK 4.4版本,规定应用程序拨出电话之前需要用户确认。但是,该版本中仍存在暴露storePicture方法的潜在危险,该方法可用于保存网上下载的文件到设备中。

FireEye表示,目前已经检测到Google Play中有超过2000个应用包含了有漏洞的InMobi版本,而这些应用的总下载量已经超过10万次。

Via infoworld
  • 大小: 20.2 KB
1
0
评论 共 2 条 请登录后发表评论
2 楼 ly993066886 2013-12-03 17:47
这么严重吗?!
1 楼 ykssky 2013-12-02 21:29
不会是狗狗自黑吧, 吓唬用户升级系统, 解决android版本碎片问题

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Global site tag (gtag.js) - Google Analytics