可怕的“寄生兽”漏洞

据商城众网获悉，日前，360手机安全研究团队vulpecker team，向补天漏洞响应平台提交了其发现的安卓APP新型通用安全漏洞“寄生兽”，这个漏洞影响市面上数以千万的APP，众多流行APP也包括在内，影响范围包括百度、腾讯、阿里等众多厂商的移动产品。

“寄生兽”APK缓存劫持漏洞的核心有两点，一是软件开发者没有考虑odex的安全问题，另外是没有对zip解压缩时的恶意文件名做检测，所以防护上也应该从这方面做考虑。

由于安卓自身的安全缺陷，使其没有对odex进行强校验，所以会导致黑客对驻留在系统缓存里的odex文件注入恶意代码。临时解决方法就需要软件开发者舍弃部分APP快速启动的特性，每次启动APP时先清空系统缓存里旧的、可能已经被病毒感染的odex文件，然后加载新的、没有被病毒感染的odex文件。

APP在加载基础模块(比如APP皮肤文件等)时，默认所加载的zip文件是安全的，所以没有安全扫描、验证程序，这使得黑客可以藉此感染并潜藏到zip里，当APP进行解压缩操作时，可以趁机进入APP内部，实现感染入侵。

利用该漏洞的攻击者可以直接在用户手机中植入木马，盗取用户的短信照片等个人隐私，盗取银行、支付宝等账号密码等。目前补天已经将相关详情通知给各大安全应急响应中心，并敦请厂商收到详情及时自查，如果自家APP存在相关安全问题，需及时修复。

多名业内人士评价，按照风险评估，该漏洞的经济价值难以估量。

（转载至网络，仅作为相关资讯的传播普及目的，如果原作者发现内容的使用不符合本人意愿，请联系本站作者或客服，将第一时间删除处理）