ADVERTISEMENT
Google於其資安部落格發表警告,提到他們偵測到稱為Tizi的資安後門,攻擊者會藉此取得裝置的Root權限,並竊取使用者於熱門社交App的機密資料,由於這些遭篡改的App大多藉由第三方市集流傳,因此Google也建議使用者盡量透過Google Play取得App。
多款熱門社交App遭毒手
根據Google提供的資料,Tizi是個Android裝置上的後門,它不但具有完整功能,還會主動於裝置上安裝惡意程式,並竊取使用者的機密資料。
Google Play Protect的資安團隊於2017年9月在掃瞄具有能力將裝置Root的App過程,發現了Tizi家族惡意程式,並在持續追蹤後發現最早的成員出現於2015年10月,Tizi的開發者甚至還設立網站或是透過社群媒體,鼓勵使用者從Google Play或是第三方市集、網站安裝更多App。
起初資安團隊只將這些惡意程式歸類為間諜程式或是具有後門的潛在有害App(Potentially Harmful App,PHA),並沒有將他們關聯為同一個家族,早期許多Tizi的變種也沒有Root的能力,但是後期的變種則能取得Root權限。
當Tizi入侵裝置並取得Root權限之後,就會透過簡訊連繫C&C伺服器(Command-and-Control Servers,指攻擊者遙控木馬程式的伺服器),並回傳裝置的GPS座標,接著C&C伺服器就會透過一般HTTPS協定傳送指令,少數變種則會透過MQTT(Message Queue Telemetry Transport)協定傳送。
Tizi與許多常見的間諜程式一樣,具有側錄、竊取裝置上資料的能力,它能夠側錄WhatsApp、Viber、Skype通話,以及接收、發送簡訊,還有存取行事曆、通話記錄、通訊錄、照片、Wi-Fi無線網路金鑰、已安裝App清單等功能,此外Tizi甚至能夠偷偷錄音,以及在螢幕沒有顯示畫面的情況下拍照。
由於Tizi用來執行Root的漏洞大多比較老舊,所以只有比較舊的裝置以及Android版本會受到影響,所有的漏洞已在2016年4月或之前發佈的安全性更新後修正,所以只要安裝相關更新檔後就不會遭到Tizi攻擊。
然而即使漏洞都已修正,Tizi仍然會詢問使用者是否給予存取簡訊、發送簡訊等權限,並嘗試執行相關動作。
安裝App時請詳閱權限要求
為了確保Android使用者的安全,Google Play Protect會關閉裝置上受感染的App,並通知所有受影響裝置的使用者,而相關開發者的Google Play帳號也已被停權。資安團隊也在這次事件後,更新了裝置上的資安服務以及尋找潛在有害App的系統,以提升Android生態圈的安全性。
此外Google也對使用者提出5點建議,來避免受到其他資安威脅的侵害。首先最重要的就是在安裝App時,需仔細查閱App是否提出不合理的權限需求,例如手電筒App要求存取簡訊就很不尋常。
接下來就是啟用安全鎖定螢幕功能,透過PIN、圖型密碼保護裝置不被外人操作,此外保持裝置更新、啟用Google Play Protect也都能修補漏洞以及避免資安威脅進入裝置。
最後Google也建議大家開啟定位功能,因為上述層層保護並不能防止你遺失手機,所以開啟定位有助於找回遺失的手機。
(0)Potentially HarmfulApp,PHA
HarmfulApp > Harmful App(中間加空格)
(1)當Tizi入侵裝置並取得Root權限之後,服它就會透過簡訊連繫C&C伺服器
服它 >(?)
(2)Command-and-Control Servers,指攻擊者遙控木馬程式的伺器
伺器 > 伺服器
(3)Tizi的災情分佈,主要即中於肯亞(藍色)...
即中 > 集中
(4)啟用Google Play Protect也都能修補漏動
漏動 > 漏洞
建議...
(1)然而如果漏洞都已修正,Tizi仍然會詢問使用者是否給予存取簡訊、發送簡訊等權限...
如果 > 即使
(2)(Potentially Harmful App)潛在有害App > 有潛在危害的 App
另外,文章提到...
「Google Play Protect會關閉裝置上受感染的App」,但是又說「如果漏洞都已修正,Tizi仍然會詢問使用者是否給予存取簡訊、發送簡訊等權限」
這兩句似乎有點矛盾?意思是 Google Play Protect 會關閉那些「試圖自動 Root」的 App,但該 App 是否為 PHA,在安裝前無法判別?
感謝提醒,已修正
原文恕刪,會有看似矛盾的情況,是因漏洞修正後,App仍然屬於可以執行的狀態,所以它還會以「正常App運作的方式」詢問使用者是否給予存取簡訊、發送簡訊等權限,所以Google Play Protect便直接封鎖App。
安裝更新檔前,所有的權限都是在 App 安裝時就獲得,所以能在使用者不知道的情況下偷發簡訊。
安裝更新檔後,部分的權限改為 App 每次存取相關資源時,都必須詢問使用者,所以才會一直跳出詢問視窗,對嗎?
而「Google Play Protect」僅屏蔽 App 執行,未阻擋下載、安裝,也不會自動移除 PHAs?