在Android設(shè)備中出現(xiàn)VPN繞過(guò)漏洞允許惡意應(yīng)用通過(guò)VPN并重定向數(shù)據(jù)的情況,那么在補(bǔ)丁發(fā)布前,該如何阻止這種情況發(fā)生?
Nick Lewis:Ben Gurion大學(xué)網(wǎng)絡(luò)安全實(shí)驗(yàn)室的研究人員最近在Android KitKat 4.4中發(fā)現(xiàn)了一個(gè)漏洞,該漏洞允許惡意應(yīng)用重定向通過(guò)VPN發(fā)送的安全數(shù)據(jù)。數(shù)據(jù)在加密之前被重定向,并可能被攔截和發(fā)送到惡意網(wǎng)絡(luò)地址。雖然研究人員公布了一段視頻來(lái)展示他們的發(fā)現(xiàn),但該漏洞如何被利用和漏洞的詳細(xì)信息并沒(méi)有公開(kāi)發(fā)布。
這個(gè)漏洞似乎是一種中間人攻擊,這種攻擊可以以多種不同方式完成,例如ARP欺騙、DNS劫持、BGP劫持或者瀏覽器中間人攻擊等。這些攻擊和VPN繞過(guò)漏洞可以讓攻擊者重定向數(shù)據(jù)。此外,一些系統(tǒng)允許路由、ARP表、靜態(tài)DNS條目等由用戶(hù)進(jìn)行手動(dòng)更新,這可能會(huì)產(chǎn)生與這些攻擊類(lèi)似的影響。它們還允許授權(quán)或未經(jīng)授權(quán)的用戶(hù)在數(shù)據(jù)到加密VPN通道之前重定向IP連接,這允許攻擊者捕捉密碼或其他敏感數(shù)據(jù)。
雖然在Android系統(tǒng)的更新配置和VPN配置中確實(shí)存在安全漏洞,但谷歌和三星聯(lián)合對(duì)該漏洞作出回應(yīng),聲稱(chēng)這不是一個(gè)漏洞,而是“攔截未加密網(wǎng)絡(luò)連接的非預(yù)期方式”。
在補(bǔ)丁或安全配置發(fā)布之前,為了保護(hù)易受攻擊的Android設(shè)備,企業(yè)應(yīng)該禁止員工安裝未經(jīng)批準(zhǔn)的應(yīng)用。此外,使用移動(dòng)設(shè)備管理產(chǎn)品來(lái)檢測(cè)未經(jīng)授權(quán)應(yīng)用的安裝以及系統(tǒng)中的配置變更。企業(yè)還應(yīng)該確保他們使用應(yīng)用層加密來(lái)保護(hù)抵御這些類(lèi)型的攻擊。
盡管谷歌已經(jīng)發(fā)布了一個(gè)補(bǔ)丁來(lái)解決這個(gè)漏洞問(wèn)題,但并不建議企業(yè)等待補(bǔ)丁,因?yàn)楦乱Q于移動(dòng)運(yùn)營(yíng)商,移動(dòng)運(yùn)營(yíng)商在補(bǔ)丁更新方面并不是很迅速,他們也沒(méi)有定義補(bǔ)丁周期。因此,在發(fā)現(xiàn)漏洞時(shí),想要保持設(shè)備的安全性的關(guān)鍵是部署預(yù)防措施。