偶然咱們都邑收到一些風(fēng)趣的臉色包GIF，然則，假如這個(gè)GIF會(huì)招致你的Android信息應(yīng)用瓦解呢？
近期，趨勢(shì)科技向Google申報(bào)了一個(gè)回絕辦事破綻漏洞bug，而這類破綻漏洞bug恰好能夠做到這一點(diǎn)，乃至更多。這個(gè)破綻漏洞bug今朝已被CVE收錄為CVE-2017-0780，咱們經(jīng)由過(guò)程測(cè)試，肯定這個(gè)破綻漏洞bug影響最新的Nexus和Pixel裝備。這個(gè)破綻漏洞bug容許入侵攻擊者不法長(zhǎng)途發(fā)送一個(gè)黑客惡意結(jié)構(gòu)的包括畸形數(shù)據(jù)的彩信，招致受害者Android信息應(yīng)用瓦解。縱然裝備/體系在網(wǎng)安形式下重啟或啟動(dòng)，應(yīng)用程序也無(wú)奈從瓦解中規(guī)復(fù)。
影響
google市肆的Android信息應(yīng)用裝置量高達(dá)5000萬(wàn)。鑒于它也是很多Nexus和Pixel裝備的默許信息應(yīng)用程序(也就是說(shuō)，它不克不及卸載)，對(duì)應(yīng)用它的終端用戶和企業(yè)來(lái)講，其影響確實(shí)是不言而喻的。
比方，企業(yè)能夠應(yīng)用Android信息應(yīng)用與客戶停止相同。用戶也能夠創(chuàng)立更個(gè)性化的信息，與其余應(yīng)用也不會(huì)發(fā)生混雜。鑒于這款應(yīng)用是被定位為跨各類Android平臺(tái)的無(wú)縫信息辦事，假定該應(yīng)用程序無(wú)奈應(yīng)用，能夠會(huì)對(duì)Android用戶的相同發(fā)生很大的負(fù)面影響。
別的，該應(yīng)用程序的無(wú)奈拜訪能夠作為潛伏入侵攻擊的催化劑，裝備一切者無(wú)奈看到、刪除或節(jié)制。比方，這些入侵攻擊能夠必要接管裝備的SMS/MMS功效，或許發(fā)送和接管已知應(yīng)用某些挪動(dòng)威逼的含有黑客惡意軟件的短信。
技巧闡發(fā)
該破綻漏洞bug觸及很多未處置的Java級(jí)空指針?lè)浅?NPEs)，咱們?cè)谛畔��?yīng)用程序剖析GIF文件的過(guò)程當(dāng)中發(fā)明了這些非常。入侵攻擊者只必要一個(gè)電話號(hào)碼，就能夠應(yīng)用這個(gè)缺點(diǎn)將黑客惡意的GIF文件發(fā)送給潛伏的受害者。

Android新聞應(yīng)用FrameSequenceDrawable來(lái)表現(xiàn)GIF文件。FrameSequence起首構(gòu)建一個(gè)基于GIF文件的位圖工具，而后組件應(yīng)用這個(gè)位圖來(lái)表現(xiàn)GIF。然則，咱們看到，acquireAndValidateBitmap函數(shù)挪用位圖中的辦法“acquireBitmap”(包括圖象文件的像素?cái)?shù)據(jù))，而不檢查它能否有用。

今朝，觸及的相干應(yīng)用程序，可經(jīng)由過(guò)程Janus平臺(tái)(htttp://appscan.io)停止檢查，搜刮相干字符串“FrameSequenceDrawable”能夠檢查相干應(yīng)用程序。
當(dāng)FrameSequence試圖從一個(gè)畸形的GIF構(gòu)建位圖時(shí)，咱們看到“acquireBitmap”函數(shù)會(huì)失敗并前往一個(gè)空值。是以，假如另一個(gè)模塊/組件或變量援用這個(gè)空工具，則將觸發(fā)NPE。
難過(guò)的是，Android操縱體系和Android信息應(yīng)用程序都無(wú)奈處置這個(gè)非常。這會(huì)招致信息應(yīng)用在剖析MMS中畸形GIF文件時(shí)發(fā)生瓦解。

減緩步伐
用戶能夠抉擇刷機(jī)或?qū)⑵湟?guī)復(fù)為出廠設(shè)置。這會(huì)刪除黑客惡意GIF文件和存儲(chǔ)在裝備中的一切其余文件。用戶必要權(quán)衡此操縱的危險(xiǎn)——或許先斟酌備份文件——而后刷機(jī)或規(guī)復(fù)出廠設(shè)置機(jī)。必要留意的是，卸載并從新裝置應(yīng)用程序無(wú)奈辦理瓦解。
加重應(yīng)用此破綻漏洞bug的入侵攻擊的另一種辦法是手動(dòng)禁用Android信息的“主動(dòng)下載彩信”功效。或許應(yīng)用另一種辦法，應(yīng)用不受影響的信息應(yīng)用程序手動(dòng)刪除黑客惡意MMS文件。

挪動(dòng)裝備愈來(lái)愈遍及，必需采納良好的網(wǎng)安習(xí)氣來(lái)減緩(假如不克不及避免)能夠應(yīng)用這類缺點(diǎn)發(fā)生的威逼。在收到未經(jīng)哀求的、可疑的、未知的新聞和鏈接時(shí)，要加倍謹(jǐn)嚴(yán)，并按期更新裝備的操縱體系及其應(yīng)用程序。
榮幸的是，最新版本的Nexus和Pixel裝備都有更同一或同等的補(bǔ)釘。然則，其余Android裝備的更新仍然是碎片化的，是以用戶應(yīng)當(dāng)接洽他們的裝備制造商以得到更新。對(duì)付企業(yè)/結(jié)構(gòu)來(lái)講，IT/體系治理員應(yīng)當(dāng)增強(qiáng)補(bǔ)釘治理戰(zhàn)略，以贊助進(jìn)步BYOD裝備的網(wǎng)安性。
咱們?cè)��?jīng)向google表露了這一網(wǎng)安成績(jī)，他們?cè)?017年9月1號(hào)宣布的Android網(wǎng)安通知布告(https://source.android.com/security/bulletin/2017-09-01)中更新了一個(gè)補(bǔ)釘，并曾經(jīng)在google市肆安排。補(bǔ)釘會(huì)捕捉未處置的java級(jí)非常。google還增加了網(wǎng)安網(wǎng)絡(luò)日記，以監(jiān)督任何應(yīng)用該破綻漏洞bug的入侵攻擊。