Nick Lewis(CISSP，GCWN))是一名信息安全分析師。他主要負(fù)責(zé)風(fēng)險管理項目，并支持該項目的技術(shù)PCI法規(guī)遵從計劃。2002年，Nick獲得密歇根州立大學(xué)的電信理學(xué)碩士學(xué)位;2005年，又獲得Norwich大學(xué)的信息安全保障理學(xué)碩士學(xué)位。在他09年加入目前的組織之前，Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學(xué)院初級兒科教學(xué)醫(yī)院，以及Internet2和密歇根州立大學(xué)工作。

[[118099]]

在Android設(shè)備中出現(xiàn)VPN繞過漏洞允許惡意應(yīng)用通過VPN并重定向數(shù)據(jù)的情況，那么在補丁發(fā)布前，該如何阻止這種情況發(fā)生?

Nick Lewis：Ben Gurion大學(xué)網(wǎng)絡(luò)安全實驗室的研究人員最近在Android KitKat 4.4中發(fā)現(xiàn)了一個漏洞，該漏洞允許惡意應(yīng)用重定向通過VPN發(fā)送的安全數(shù)據(jù)。數(shù)據(jù)在加密之前被重定向，并可能被攔截和發(fā)送到惡意網(wǎng)絡(luò)地址。雖然研究人員公布了一段視頻來展示他們的發(fā)現(xiàn)，但該漏洞如何被利用和漏洞的詳細(xì)信息并沒有公開發(fā)布。

這個漏洞似乎是一種中間人攻擊，這種攻擊可以以多種不同方式完成，例如ARP欺騙、DNS劫持、BGP劫持或者瀏覽器中間人攻擊等。這些攻擊和VPN繞過漏洞可以讓攻擊者重定向數(shù)據(jù)。此外，一些系統(tǒng)允許路由、ARP表、靜態(tài)DNS條目等由用戶進(jìn)行手動更新，這可能會產(chǎn)生與這些攻擊類似的影響。它們還允許授權(quán)或未經(jīng)授權(quán)的用戶在數(shù)據(jù)到加密VPN通道之前重定向IP連接，這允許攻擊者捕捉密碼或其他敏感數(shù)據(jù)。

雖然在Android系統(tǒng)的更新配置和VPN配置中確實存在安全漏洞，但谷歌和三星聯(lián)合對該漏洞作出回應(yīng)，聲稱這不是一個漏洞，而是“攔截未加密網(wǎng)絡(luò)連接的非預(yù)期方式”。

在補丁或安全配置發(fā)布之前，為了保護(hù)易受攻擊的Android設(shè)備，企業(yè)應(yīng)該禁止員工安裝未經(jīng)批準(zhǔn)的應(yīng)用。此外，使用移動設(shè)備管理產(chǎn)品來檢測未經(jīng)授權(quán)應(yīng)用的安裝以及系統(tǒng)中的配置變更。企業(yè)還應(yīng)該確保他們使用應(yīng)用層加密來保護(hù)抵御這些類型的攻擊。

盡管谷歌已經(jīng)發(fā)布了一個補丁來解決這個漏洞問題，但并不建議企業(yè)等待補丁，因為更新要取決于移動運營商，移動運營商在補丁更新方面并不是很迅速，他們也沒有定義補丁周期。因此，在發(fā)現(xiàn)漏洞時，想要保持設(shè)備的安全性的關(guān)鍵是部署預(yù)防措施。