ddos拒绝服务破绽漏洞bug能够引发安卓系统信息应用的崩溃,漏洞编号CVE-2017-0780

偶然咱们都邑收到一些风趣的脸色包GIF，然则，假如这个GIF会招致你的Android信息应用瓦解呢?

近期，趋势科技向Google申报了一个回绝办事破绽漏洞bug，而这类破绽漏洞bug恰好能够做到这一点，乃至更多。这个破绽漏洞bug今朝已被CVE收录为CVE-2017-0780，咱们经由过程测试，肯定这个破绽漏洞bug影响最新的Nexus和Pixel装备。这个破绽漏洞bug容许入侵攻击者不法长途发送一个黑客恶意结构的包括畸形数据的彩信，招致受害者Android信息应用瓦解。纵然装备/体系在网安形式下重启或启动，应用程序也无奈从瓦解中规复。

影响

google市肆的Android信息应用装置量高达5000万。鉴于它也是很多Nexus和Pixel装备的默许信息应用程序(也就是说，它不克不及卸载)，对应用它的终端用户和企业来讲，其影响确实是不言而喻的。

比方，企业能够应用Android信息应用与客户停止相同。用户也能够创立更个性化的信息，与其余应用也不会发生混杂。鉴于这款应用是被定位为跨各类Android平台的无缝信息办事，假定该应用程序无奈应用，能够会对Android用户的相同发生很大的负面影响。

别的，该应用程序的无奈拜访能够作为潜伏入侵攻击的催化剂，装备一切者无奈看到、删除或节制。比方，这些入侵攻击能够必要接管装备的SMS/MMS功效，或许发送和接管已知应用某些挪动威逼的含有黑客恶意软件的短信。

技巧阐发

该破绽漏洞bug触及很多未处置的Java级空指针非常(NPEs)，咱们在信息应用程序剖析GIF文件的过程当中发明了这些非常。入侵攻击者只必要一个电话号码，就能够应用这个缺点将黑客恶意的GIF文件发送给潜伏的受害者。

Android新闻应用FrameSequenceDrawable来表现GIF文件。FrameSequence起首构建一个基于GIF文件的位图工具，而后组件应用这个位图来表现GIF。然则，咱们看到，acquireAndValidateBitmap函数挪用位图中的办法“acquireBitmap”(包括图象文件的像素数据)，而不检查它能否有用。

今朝，触及的相干应用程序，可经由过程Janus平台(htttp://appscan.io)停止检查，搜刮相干字符串“FrameSequenceDrawable”能够检查相干应用程序。

当FrameSequence试图从一个畸形的GIF构建位图时，咱们看到“acquireBitmap”函数会失败并前往一个空值。是以，假如另一个模块/组件或变量援用这个空工具，则将触发NPE。

难过的是，Android操纵体系和Android信息应用程序都无奈处置这个非常。这会招致信息应用在剖析MMS中畸形GIF文件时发生瓦解。

减缓步伐

用户能够抉择刷机或将其规复为出厂设置。这会删除黑客恶意GIF文件和存储在装备中的一切其余文件。用户必要权衡此操纵的危险——或许先斟酌备份文件——而后刷机或规复出厂设置机。必要留意的是，卸载并从新装置应用程序无奈办理瓦解。

加重应用此破绽漏洞bug的入侵攻击的另一种办法是手动禁用Android信息的“主动下载彩信”功效。或许应用另一种办法，应用不受影响的信息应用程序手动删除黑客恶意MMS文件。

挪动装备愈来愈遍及，必需采纳良好的网安习气来减缓(假如不克不及避免)能够应用这类缺点发生的威逼。在收到未经哀求的、可疑的、未知的新闻和链接时，要加倍谨严，并按期更新装备的操纵体系及其应用程序。

荣幸的是，最新版本的Nexus和Pixel装备都有更同一或同等的补钉。然则，其余Android装备的更新仍然是碎片化的，是以用户应当接洽他们的装备制造商以得到更新。对付企业/结构来讲，IT/体系治理员应当增强补钉治理战略，以赞助进步BYOD装备的网安性。

咱们曾经向google表露了这一网安成绩，他们在2017年9月1号宣布的Android网安通知布告(https://source.android.com/security/bulletin/2017-09-01)中更新了一个补钉，并曾经在google市肆安排。补钉会捕捉未处置的java级非常。google还增加了网安网络日记，以监督任何应用该破绽漏洞bug的入侵攻击。