安卓沙箱环境此前被称作“工作版安卓系统”,Skycure安全研究人员表示沙箱环境可遭受“中间app攻击”,给企业数据带来风险。
这个安全框架目前被称作“安卓工作功能”,旨在解决将数百万台个人设备带入企业环境中的BYOD问题。这个功能在Android 5.0版本中引入,目的是通过使用由IT管理员管理的另一个企业资料将企业数据和个人数据分开。
将所有的商业应用程序、邮件和文档在企业资料中管理并保证其安全,而将个人数据资料设置为不受限制状态将为用户提供一种隐私度得到提高的感觉,因为管理员无法管理或监控他们的app。这个功能利用的是用户分离机制。
Skycure表示,虽然“工作版安卓系统”被设计为额外的沙箱以阻止来自容器外部的app访问容器里面的数据,但两种“中间app”攻击能让位于个人资料中的恶意app打破这个界限。这样,“工作版安卓系统”只是一种看似安全的框架,而且敏感的企业数据能被访问并从个人资料中窃取。
然而,这两种攻击瞄准了安全链条中最薄弱的环节即人为因素。不过要成功实施攻击需要用户交互。
研究人员指出,第一种此类攻击依赖的是个人资料中的一款恶意app,要求获取查看并针对所有通知采取行动的权限,包括来自沙箱环境中的通知。由于通知的访问权限是设备级别的权限,因此恶意app会立即访问敏感信息如会议安排、邮件信息等。
研究人员指出,这种能力规避了“工作版安卓系统”所提供的个人和工作资料中的安全分离逻辑。中间app攻击能够控制用户启动通知访问权限以获取访问工作资料中的信息。如果这款恶意app旨在将通知中所浏览的信息传递给命令和服务控制器,那么包含在通知中的信息就不再是安全的。
研究人员指出,攻击者能够在某些企业系统上启用“忘记密码”进程并且劫持设备内置通知,从而接收完整的企业权限,而不必限制到移动设备上。通过安卓通知API立即解除通知功能并归档恢复邮件,这款恶意app就能够阻止用户注意到攻击的发生。
如此,“工作版安卓系统”作为安全沙箱的作用就会受到严重威胁。攻击者甚至还会捕获双因素验证,而管理员将不会察觉这种偷盗行为。
第二种中间app攻击利用的是安卓的可接入服务,该服务旨在为用户跟设备交互时提供用户界面增强。由于该服务能够访问“几乎设备上所有的内容和控制并进行读取和写入”,个人资料中的应用程序如有接入权限将会访问在沙箱中执行的应用程序。
研究人员表示,由于攻击存在于个人资料中,不是从工作资料中监控或控制的,因此如果恶意app使用了该服务,IT管理员就无法检测到敏感信息被泄露。不过,如果此类攻击要成功实施,应用程序必须注册为一种接入服务并且控制用户以获取访问权限。
研究人员指出,安卓工程师已经为接入服务白名单实现了一个API,这个API能被跟白名单的合法app有同样数据包名称的恶意app所规避,或者能被已有的且诱骗用户将其白名单化的恶意中间app接入服务所规避。
研究人员指出,有人已经问题反馈给安卓团队,但后者认为这并非是安全漏洞,不过也同意将研究成果公开以提高人们对信息暴露的意识。