資安業者：Android for Work含有兩個中間程式攻擊漏洞

以色列資安業者Skypcure技術長Yair Amit本周揭露了Android for Work含有兩個中間程式攻擊（app-in-the-middle）漏洞，將允許安裝在個人檔案（Personal profile）的惡意程式竊取來自工作檔案（Work profile）的資訊，並將它們傳送到駭客所操控的C&C伺服器上。

Android for Work為Google在2015年專為企業環境所打造的行動服務，它是基於沙箱或安全容器概念，於Android裝置上建立一個具備企業等級控管能力的隔離空間，用以儲存所有的企業應用程式、電子郵件及文件。同一裝置上除了企業用的工作檔案之外，另有屬於私人空間的個人檔案，可儲存個人資料及安裝各種應用程式。

然而，Amit本周卻展示了兩項攻擊，可藉由個人檔案中所安裝的程式竊取工作檔案的內容。其中一個途徑是利用Android for Work的通知功能，另一個則是透過Android平台上的輔助服務（Accessibility Service）。

Amit說明，Android for Work的通知與個人通知採用同樣的介面，由於通知的存取是屬於裝置等級的權限，因此個人檔案中的惡意程式亦可取得檢視所有通知的權限，包含工作通知，而讓通知中所顯示的會議時間、郵件訊息或其他機密資訊曝光。

至於Android平台上的輔助服務則是用來強化使用者與裝置的互動能力，包含可唸出螢幕上的文字，因此，位於個人檔案中、取得輔助服務權限的惡意程式亦能存取工作檔案中正執行的程式，繞過Android for Work的保護。
Amit認為，除了Android平台可能被駭而讓機密資訊曝光之外，另一個風險則是會讓使用者誤以為擁有安全容器就能保障資訊的安全。