亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

針對(duì)21個(gè)免費(fèi)的Android防病毒應(yīng)用程序進(jìn)行全面測(cè)試，發(fā)現(xiàn)了大量安全漏洞和隱私問(wèn)題;?尤其適用于AEGISLAB，BullGuard，dfndr和VIPRE。

在最近的測(cè)試中，一系列流行的免費(fèi)Android防病毒應(yīng)用程序被證明存在安全漏洞和隱私問(wèn)題 – 包括暴露用戶地址簿的重要漏洞，以及另一個(gè)嚴(yán)重漏洞，使攻擊者能夠完全關(guān)閉防病毒保護(hù)。

根據(jù)這21個(gè)Android防病毒軟件供應(yīng)商的Comparitech的分析，測(cè)試的三個(gè)應(yīng)用程序（來(lái)自VIPRE Mobile，AEGISLAB和BullGuard）存在嚴(yán)重的安全漏洞，7個(gè)應(yīng)用程序無(wú)法檢測(cè)到測(cè)試病毒。總共有47％的測(cè)試供應(yīng)商在某種程度上失敗了。

安全漏洞

VIPRE的受歡迎的應(yīng)用程序被發(fā)現(xiàn)有兩個(gè)不安全的直接對(duì)象引用（IDOR）錯(cuò)誤，其中包括一個(gè)嚴(yán)重的缺陷，使高級(jí)用戶的通訊錄同步有可能使他們的聯(lián)系人被盜，包括全名，照片，地址和敏感的個(gè)人筆記信息。

“使用在線儀表板，我們發(fā)現(xiàn)攻擊者可以通過(guò)啟用云同步來(lái)訪問(wèn)VIPRE Mobile用戶的地址簿，”Comparitech的研究人員周四在一篇博客中表示。“基于我們的概念驗(yàn)證和應(yīng)用程序的受歡迎程度，我們估計(jì)有超過(guò)一百萬(wàn)的聯(lián)系人在網(wǎng)絡(luò)上無(wú)擔(dān)保。”

該缺陷是由于訪問(wèn)控制中斷或?qū)嵤┎划?dāng)造成的，這表現(xiàn)為VIPRE Mobile后端的IDOR漏洞。

“負(fù)責(zé)的腳本只檢查以確保攻擊者已登錄，”研究人員說(shuō)。“沒(méi)有進(jìn)一步檢查以確保請(qǐng)求是由適當(dāng)?shù)脑O(shè)備或帳戶執(zhí)行的。”

另一個(gè)嚴(yán)重的缺陷為攻擊者發(fā)送虛假的防病毒警報(bào)打開(kāi)了大門(mén)。

研究人員說(shuō)：“生成欺詐性警報(bào)并將其發(fā)送給毫無(wú)戒心的用戶是微不足道的。”?“我們發(fā)現(xiàn)我們可以編輯警報(bào)請(qǐng)求中的字段，讓它說(shuō)出我們想要的任何內(nèi)容。我們能夠通過(guò)捕獲發(fā)現(xiàn)病毒時(shí)生成的請(qǐng)求來(lái)推送虛假警報(bào)，然后操縱請(qǐng)求以更改用戶ID和其他參數(shù)。結(jié)果是在受害者的VIPRE Mobile儀表板上顯示了一個(gè)完全真實(shí)的病毒警報(bào)。“

BullGuard的應(yīng)用程序同時(shí)也包含嚴(yán)重的IDOR缺陷，這意味著所有用戶都容易受到攻擊者遠(yuǎn)程禁用其防病毒保護(hù)的攻擊。此外，該應(yīng)用程序有一個(gè)嚴(yán)重的跨站點(diǎn)腳本問(wèn)題（XSS），允許攻擊者插入惡意代碼，因?yàn)橐资芄?/p>

IDOR漏洞允許攻擊者遍歷客戶ID并在每臺(tái)設(shè)備上禁用BullGuard。

“我們能夠攔截并改變禁用BullGuard Mobile防病毒的請(qǐng)求，”研究人員寫(xiě)道。“我們的測(cè)試發(fā)現(xiàn)，當(dāng)用戶關(guān)閉防病毒保護(hù)時(shí)生成的請(qǐng)求可以被捕獲和更改。通過(guò)更改此請(qǐng)求中的用戶ID，可以禁用任何設(shè)備上的防病毒保護(hù)。似乎沒(méi)有訪問(wèn)控制來(lái)確保正確的用戶提出請(qǐng)求。“

此外，Comparitech發(fā)現(xiàn)其中一個(gè)負(fù)責(zé)處理BullGuard網(wǎng)站上新用戶的腳本容易受到XSS攻擊。

他們解釋說(shuō)：“有問(wèn)題的腳本不會(huì)清理傳遞給它的任何參數(shù)，這使得攻擊者能夠運(yùn)行惡意代碼。”

攻擊者可以利用此功能在頁(yè)面上顯示警報(bào)，劫持會(huì)話，收集個(gè)人數(shù)據(jù)或?qū)⒕W(wǎng)站用作網(wǎng)絡(luò)釣魚(yú)活動(dòng)的平臺(tái)。

最后，AEGISLAB網(wǎng)絡(luò)儀表板的用戶也面臨著嚴(yán)重的XSS漏洞，這會(huì)給攻擊者插入惡意代碼打開(kāi)大門(mén)，因?yàn)樵摴緵](méi)有鎖定應(yīng)用程序的儀表板。

“根據(jù)分析，我們發(fā)現(xiàn)了影響my2.aegislab.com域上運(yùn)行的一個(gè)腳本的幾個(gè)XSS漏洞。”?“因?yàn)閭鬟f給腳本的參數(shù)都沒(méi)有被清理過(guò)，所以攻擊者執(zhí)行惡意代碼本來(lái)是微不足道的。”

據(jù)Comparitech稱，這三家供應(yīng)商已經(jīng)更新了他們的應(yīng)用程序以解決這些漏洞。

病毒檢測(cè)和隱私

除了安全問(wèn)題之外，許多應(yīng)用程序在基本檢測(cè)時(shí)都被發(fā)現(xiàn)失敗了。AEGISLAB Antivirus Free;?Antiy AVL Pro防病毒和安全;?Brainiacs防病毒系統(tǒng);?Fotoable超級(jí)清潔劑;?MalwareFox反惡意軟件;?NQ Mobile Security＆Antivirus Free;?Tap Technology Antivirus Mobile;?和Zemana Antivirus＆Security未能檢測(cè)到測(cè)試病毒。

“我們使用的Metasploit有效載荷試圖在沒(méi)有模糊處理的情況下在設(shè)備上打開(kāi)反向外殼，”研究人員在周四的?一篇文章中?解釋道。“它是為這種測(cè)試而打造的。每個(gè)Android防病毒應(yīng)用都應(yīng)該能夠檢測(cè)并停止嘗試。“

在隱私方面，許多“免費(fèi)”應(yīng)用都會(huì)展示有針對(duì)性的廣告。因此，研究人員還使用Exodus移動(dòng)隱私數(shù)據(jù)庫(kù)中的信息來(lái)查找危險(xiǎn)權(quán)限和廣告跟蹤器。

“在我們的分析中，dfndr是安全性最糟糕的罪犯，”該公司表示。“與應(yīng)用程序捆綁在一起的廣告追蹤器數(shù)量令人印象深刻。據(jù)我們所知，dfndr將用戶搜索和瀏覽器習(xí)慣放在每個(gè)廣告交易平臺(tái)上進(jìn)行銷售。“

根據(jù)分析，dfndr還請(qǐng)求訪問(wèn)精確位置數(shù)據(jù)，訪問(wèn)攝像頭，讀取和寫(xiě)入聯(lián)系人，查看地址簿以及獲取設(shè)備的IMEI（唯一ID）和電話號(hào)碼的權(quán)限。

供應(yīng)商沒(méi)有立即回復(fù)評(píng)論請(qǐng)求。

研究人員表示，所發(fā)現(xiàn)的問(wèn)題證明了?移動(dòng)惡意軟件?仍然不是一個(gè)高容量的威脅。

“在2018年，卡巴斯基實(shí)驗(yàn)室報(bào)告稱它在Android和iOS設(shè)備上阻止了1.165億次病毒和惡意軟件感染;?這聽(tīng)起來(lái)像是一個(gè)巨大的數(shù)字，但根據(jù)他們的數(shù)字，去年美國(guó)只有10％的用戶，加拿大的5％和英國(guó)的6％用戶需要受到移動(dòng)威脅的保護(hù)，“分析師解釋說(shuō)。“因此，有時(shí)供應(yīng)商專注于添加功能以區(qū)分自己，而不是改進(jìn)他們的代碼庫(kù)。他們顯然并不總能做得很好。我們發(fā)現(xiàn)的每個(gè)漏洞都是與實(shí)際病毒掃描系統(tǒng)相關(guān)的。“

原文鏈接：?https://threatpost.com/critical-bug-android-antivirus/146927/