品玩

科技创新者的每日必读

打开APP
关闭
芯片

Android曝最新漏洞:已存在4年,今年3月前出厂的手机都有被攻击风险

陈粲然 Ray

发布于 2013年7月6日

不久前,Android被Bluebox安全公司爆出了一个巨大漏洞。这个漏洞照成的后果是,攻击者可以不需要更改Android应用程序的开发者签名便能对APK代码进行修改。并且,这个漏洞涉及到从1.6版本至今全部的Android版本,换句话说,这4年中生产的9亿设备,即当今市场上99%的Android产品都面临这一问题。

利用这一漏洞,攻击者们能够获得Android系统的最高权限,访问所有的应用和手机数据。利用这一点,他们可以对用户的手机进行多种多样的数据——采集一切用户的数据,盗取用户的账号和密码,远程控制用户手机拨打电话、发送短信息、开启摄像头、录音等等功能。同时,他们还能够利用用户数据向其他网络发起攻击、攻击与用户手机联网的计算机、发送垃圾短信息、对某个目标发起DDoS攻击或者擦除用户设备上的所有数据……

其实我们知道,Android市场上一直有很多类似的问题——经常有人反编译他们的应用,在APK中加入恶意的代码,然后以盗版App的形态投放到应用市场中。如果用户搜索这一App并下载了盗版应用,那么在安装之后,它会对用户的手机进行各种攻击——后台偷跑流量、发生扣费短信、盗取数据或是发送大量弹窗广告,攻击者们利用这些方式来谋取暴利。

但问题在于,在Android系统中,每个应用都必须签名,攻击者们在反编译后提供的是一个不同的签名文件签名,且同一个应用如果签名不同则不能覆盖安装。所以用户如果在更新App时系统提示签名不一致,就会意识到可能是安装了盗版App,同时,第三方的应用市场也能根据签名来验证应用是否是正版。例如豌豆荚的洗白白功能,就是对签名进行校验,然后帮助用户选择开发商提供的App。

可当最新的漏洞被发现时一切都不一样了,既然攻击者无需更改签名就能修改APK,那么通过签名验证应用来源的方式就变得十分不可靠。

不过Google似乎并不认为这是一个严重的问题,也并不认为其影响有99%的Android设备这么骇人听闻。Twitter ID为stevenzyc的Google员工说道:“针对目前网上提到的在Android操作系统中发现的重大安全漏洞,可能影响到当前99%的Android设备。这个漏洞2月被发现,三月初谷歌就给各个厂商提供了安全补丁:ANDROID-8219321,并在CTS中添加测试项检查补丁。建议大家要买过了CTS认证的厂商的手机,因为不仅应用兼容而且更安全。99%估计都是山寨机吧。”

不过,即使他的说法属实,那么在3月前的手机应该都没有这一补丁,也就是说市场上仍有大量用户存在被攻击的风险。所以在Google完全解决这一问题,为了应对这一问题,用户最有效的方式是从官方渠道下载App,因为论坛和第三方应用市场很可能充斥这些难以识别的盗版应用。

注:图题来自网络

下载品玩App,比99.9%的人更先知道关于「芯片」的新故事

下载品玩App

比99.9%的人更先知道关于「芯片」的新故事

iOS版本 Android版本
立即下载
陈粲然 Ray

不揣测动机、不质疑资格、不定义身份、不混淆概念、诚恳承认错误,做良性讨论。

取消 发布
AI阅读助手
以下有两点提示,请您注意:
1. 请避免输入违反公序良俗、不安全或敏感的内容,模型可能无法回答不合适的问题。
2. 我们致力于提供高质量的大模型问答服务,但无法保证回答的准确性、时效性、全面性或适用性。在使用本服务时,您需要自行判断并承担风险;
感谢您的理解与配合
该功能目前正处于内测阶段,尚未对所有用户开放。如果您想快人一步体验产品的新功能,欢迎点击下面的按钮申请参与内测 申请内测