趋势科技安全研究人员表示,攻击者正在利用安卓WebView浏览器中的一个漏洞攻击Facebook账户。这一漏洞允许攻击者绕过安卓的同源策略(Same Origin Policy),影响运行早于4.4版本操作系统的安卓设备。这一漏洞(CVE-2014-6041)首次由一名独立安全研究员在九月份发现。但数月之后,漏洞再次被利用。NVD指出,早于4.4版本的安卓WebView允许远程攻击者通过一个包含\u0000字符的精心编制的属性绕过同源策略。趋势科技指出,攻击通过在可链接至恶意站点的一个Facebook页面实施。页面包含混淆的JavaScript代码,而这个代码包含加载内部框架中Facebook URL的攻击。用户只能看到一个空白页,因为页面的HTML被设置为当内部框架为一个像素大小时,不通过div标签显示任何东西。当这些程序被执行时,便出现了SOP绕过。此外,它会从一个合法云存储提供商那里加载一个远程JavaScript文件,而这个文件中包含着攻击恶意代码并且允许攻击者在Facebook上执行以下行为:
•添加好友
•点赞并关注Facebook页面
•授权Facebook app访问用户公开文件、朋友列表、生日信息、点赞以及朋友的点赞
•窃取受害者的访问token并将它们上传至位于http://{BLOCKED}martforchristmas.website/walmart/j/index.php?cid=544fba6ac6988&access_token= $token的服务器
•使用合法服务https://whos.{BLOCKED}ung.us/pingjs/收集分析数据(例如受害者地理位置、HTTP推荐人等等)
此外,研究人员表示在http://www.{BLOCKED}php.com/x/toplu.php 上发现了一个类似的攻击,并且疑为同一人所为,因为他们共享几个功能名称、以及Facebook app的client_id。
这款恶意软件所包含的client_id是2254487659,它是由黑莓运行的官方黑莓app。研究人员指出,这款黑莓恶意软件试图利用黑莓的品牌名称并窃取用户的访问token,进而想Facebook API发起请求,并读取用户数据或者伪装用户发送内容。据悉,Google已发布一个针对安卓用户的补丁。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。