不久前,Android被Bluebox安全公司爆出了一个巨大漏洞。这个漏洞照成的后果是,攻击者可以不需要更改Android应用程序的开发者签名便能对APK代码进行修改。并且,这个漏洞涉及到从1.6版本至今全部的Android版本,换句话说,这4年中生产的9亿设备,即当今市场上99%的Android产品都面临这一问题。
利用这一漏洞,攻击者们能够获得Android系统的最高权限,访问所有的应用和手机数据。利用这一点,他们可以对用户的手机进行多种多样的数据——采集一切用户的数据,盗取用户的账号和密码,远程控制用户手机拨打电话、发送短信息、开启摄像头、录音等等功能。同时,他们还能够利用用户数据向其他网络发起攻击、攻击与用户手机联网的计算机、发送垃圾短信息、对某个目标发起DDoS攻击或者擦除用户设备上的所有数据……
其实我们知道,Android市场上一直有很多类似的问题——经常有人反编译他们的应用,在APK中加入恶意的代码,然后以盗版App的形态投放到应用市场中。如果用户搜索这一App并下载了盗版应用,那么在安装之后,它会对用户的手机进行各种攻击——后台偷跑流量、发生扣费短信、盗取数据或是发送大量弹窗广告,攻击者们利用这些方式来谋取暴利。
但问题在于,在Android系统中,每个应用都必须签名,攻击者们在反编译后提供的是一个不同的签名文件签名,且同一个应用如果签名不同则不能覆盖安装。所以用户如果在更新App时系统提示签名不一致,就会意识到可能是安装了盗版App,同时,第三方的应用市场也能根据签名来验证应用是否是正版。例如豌豆荚的洗白白功能,就是对签名进行校验,然后帮助用户选择开发商提供的App。
可当最新的漏洞被发现时一切都不一样了,既然攻击者无需更改签名就能修改APK,那么通过签名验证应用来源的方式就变得十分不可靠。
不过Google似乎并不认为这是一个严重的问题,也并不认为其影响有99%的Android设备这么骇人听闻。Twitter ID为stevenzyc的Google员工说道:“针对目前网上提到的在Android操作系统中发现的重大安全漏洞,可能影响到当前99%的Android设备。这个漏洞2月被发现,三月初谷歌就给各个厂商提供了安全补丁:ANDROID-8219321,并在CTS中添加测试项检查补丁。建议大家要买过了CTS认证的厂商的手机,因为不仅应用兼容而且更安全。99%估计都是山寨机吧。”
不过,即使他的说法属实,那么在3月前的手机应该都没有这一补丁,也就是说市场上仍有大量用户存在被攻击的风险。所以在Google完全解决这一问题,为了应对这一问题,用户最有效的方式是从官方渠道下载App,因为论坛和第三方应用市场很可能充斥这些难以识别的盗版应用。
注:图题来自网络
0 条评论
请「登录」后评论