(谷歌2013年7月下旬发布了 Android 4.3 Jelly Bean系统,不过这只是一款较小更新版本。当大家还在焦急的等待着传说中的 Android 5.0 Key Lime Pie(酸橙派)系统出现的时候,谷歌宣布Android 4.3 Jelly Bean下一个版本将命名为KitKat(奇巧),它是Android 4.4系统,于去年10月份发布。)
然而,以色列的本古里安大学的研究人员在最新Android 4.4 KitKat中发现了漏洞!该漏洞允许攻击者截获并转移安全虚拟专用网(VPN)流量。
研究者在博客中指出:
“一个恶意程序可以绕过主动VPN配置(不需要ROOT权限),将安全的数据通信重新定向到一个不同的网络地址。 这些通信抓取信息明文(没有加密!),信息被完全暴露在外。”
他们继续解释说,用户很可能完全忽视这种被定义为“中间人”的攻击,用户以为通信是被加密,链接是安全的。圣诞节前,也是这个团队在Android4.3中发现了一样的漏洞,尽管KitKat修复了,他们也能够复制。该团队专注于三星KNOX Enterprise系统的VPN不安全区域研究,并用Galaxy S4手机测试。三星否认Android 4.3 Jelly Bean上发现的漏洞是KNOX设置错误所致,并指出:
“该漏洞只是使用一种意想不到的方式利用合法的Android网络功能来拦截来自应用的未加密网络连接数据”。
迄今为止谷歌没有任何回应与安全索赔。
据《电脑世界》报道,继三星回应之后,Ben Gurion团队随即又确定了Android4.4的完整VPN旁路,他们指出,他们使用了开箱即用的设备,利用漏洞需要几个权限,但“没什么特别之处”。
漏洞不能突破在发送之前就已被加密的通信。电脑安全顾问也指出,SSL邮件连接和HTTPS-enabled网站或其他安全协议将不会受到影响。但不是所有的应用程序都加密它们的通信,这意味着许多通信仍有可能受到VPN绕行。
The Register 透露,研究人员已将该问题通知Google,希望很快采取行动,来自大学网络安全实验室的Dudu Mimran说:“我们认为这影响严重,因为KitKat才推出不久,这也许是一个很好的检测时间。”
作者 特约撰稿人 ,ESET
注:欣赏一下以往的Android系统名称列表:
Android 1.5: Cupcake(纸杯蛋糕)
Android 1.6: Donut(甜甜圈)
Android 2.0: Eclair(法式奶油夹心甜点)
Android 2.2: Froyo(冻酸奶)
Android 2.3: Gingerbread(姜饼)
Android 3.0: Honeycomb(蜂巢)
Android 4.0: Ice Cream Sandwich(冰激凌三明治)
Android 4.1: Jelly Bean(果冻豆 )
Android 4.2: Jelly Bean(果冻豆 )
Android 4.3: Jelly Bean(果冻豆 )
Android 4.4: KitKat(奇巧)
(责任编辑:安博涛)
