信息化觀察網(wǎng)

賽門鐵克警告：由于安卓操作系統(tǒng)允許應(yīng)用訪問外部存儲中的文件，用戶通過 WhatsApp 和 Telegram 消息應(yīng)用傳輸?shù)拿襟w文件可被黑客篡改。

安卓應(yīng)用可在設(shè)備內(nèi)部或外部存儲中存儲文件和數(shù)據(jù)。內(nèi)部存儲中的文件只可由其相關(guān)應(yīng)用訪問，所以谷歌建議開發(fā)者用內(nèi)部存儲存放不應(yīng)被用戶或其他應(yīng)用訪問的數(shù)據(jù)。與之相對，外部存儲中的文件用戶和其他應(yīng)用均可查看和修改。

賽門鐵克的研究人員介紹了這種名為 “媒體文件劫持” (Media File Jacking) 的攻擊方法：WhatsApp 和 Telegram 收發(fā)文件時在寫入磁盤和加載到應(yīng)用用戶界面之間存在時間差，具有外部存儲寫權(quán)限的安卓應(yīng)用便可趁此間隙快速修改文件。

該攻擊對保持默認(rèn)設(shè)置的 WhatsApp 和 勾選了 “保存到圖庫” 選項(xiàng)的 Telegram 有效。

惡意應(yīng)用可在后臺運(yùn)行，監(jiān)視目標(biāo)消息應(yīng)用的文件接收動作，伺機(jī)操作圖片、發(fā)票、音頻等文件。賽門鐵克稱，圖片篡改可以只是搞搞惡作劇，但也可以用于勒索。

發(fā)票篡改則后果嚴(yán)重得多。攻擊者可以編程換掉文件中的銀行賬號信息，讓受害者將錢打到自己控制的賬戶中而不是原始發(fā)票中寫的賬戶。

客戶收到預(yù)期的發(fā)票，卻不知道其中賬戶信息已被篡改。而等供應(yīng)商長期收不到貨款而來函來電查詢時，資金早已不見蹤影了。更糟的是，發(fā)票篡改攻擊可以大規(guī)模展開，找尋任何可被篡改的發(fā)票，廣泛影響使用 WhatsApp 等即時通訊 (IM) 應(yīng)用執(zhí)行業(yè)務(wù)的受害者。

篡改音頻消息也可對企業(yè)造成嚴(yán)重傷害。在賽門鐵克描述的場景中，某公司 CEO 用 WhatsApp 給 CFO 發(fā)送了一段音頻消息，要求更新董事會會議上要用的幻燈片。攻擊者使用聲音重建技術(shù)替換掉原始音頻，改成 CEO 要求向攻擊者控制下的銀行賬戶轉(zhuǎn)賬的語音消息。

至于 Telegram 的應(yīng)用場景，賽門鐵克稱，“媒體文件劫持” 攻擊可用于在可信新聞機(jī)構(gòu)的官方 Telegram 頻道中插播假消息。攻擊者可以將新聞機(jī)構(gòu)推送的合法內(nèi)容替換成自己的虛假信息，再呈現(xiàn)在受害者的手機(jī)上。

賽門鐵克演示的是針對 WhatsApp 和 Telegram 的攻擊，但業(yè)界此前已知悉了與安卓外部存儲相關(guān)的風(fēng)險。去年 Check Point 的研究人員就披露過一種非常相似的技術(shù)：安卓設(shè)備上的惡意軟件可以用精心構(gòu)造的文件覆蓋掉合法文件以引發(fā)崩潰（也可導(dǎo)致提權(quán)執(zhí)行代碼），還可以劫持應(yīng)用的更新進(jìn)程來安裝更多惡意軟件。Check Point 將之稱為 “盤中人” (man-in-the-disk) 攻擊

賽門鐵克已向 WhatsApp 和 Telegram 報告了自己的發(fā)現(xiàn)。WhatsApp 認(rèn)為該問題應(yīng)由谷歌解決，并將尋求評論的媒體引向了谷歌即將推出的 Android Q。Telegram 對此事不予置評。

Android Q 將引入名為 Scoped Storage 的隱私功能，用以改變應(yīng)用訪問安卓設(shè)備外部存儲的方式。賽門鐵克稱，Scoped Storage 可能會緩解 “媒體文件劫持” 攻擊，但由于應(yīng)用開發(fā)者還需要一點(diǎn)時間適應(yīng)新功能，這種改變或許不會那么快發(fā)生。而且，Android Q 的廣泛應(yīng)用也需要時間推開，而有些設(shè)備是不會更新自己的操作系統(tǒng)的。

賽門鐵克認(rèn)為，WhatsApp 和 Telegram 之類消息應(yīng)用的開發(fā)者應(yīng)采取措施防止?jié)撛诠?，比如在加載前先驗(yàn)證文件完整性、盡可能在內(nèi)部存儲中存放文件，以及像加密文本消息一樣加密媒體文件。

賽門鐵克還開發(fā)了演示圖片和發(fā)票如何被篡改的概念驗(yàn)證 (PoC) 漏洞利用程序。該公司發(fā)布了視頻展示攻擊者如何操縱這些類型的文件，并附上了錄音文件篡改方法的演示。