安卓漏洞可竊取數據 99%設備受影響

北京時間7月4日消息，據國外媒體報道，移動安全創(chuàng)業(yè)企業(yè)Bluebox周三發(fā)帖子指出，自Android 1.6版本以來就存在漏洞，被黑客用于竊取數據、操縱系統(tǒng)，且有99%的Android設備受到影響。

研究人員發(fā)現(xiàn)，過去四年中，這一漏洞普遍存在，黑客可修改任何應用的合法數字簽名，將其改造成一個木馬程序來盜取數據或者控制操作系統(tǒng)。Bluebox發(fā)現(xiàn)了該漏洞，并計劃于本月晚些時候在拉斯維加斯美國黑帽安全大會上披露更多細節(jié)。

這一漏洞源于Android應用加密驗證方式的紕漏，其允許黑客在不破壞加密簽名的情況下修改應用程序包（APKs）。

Bluebox的首席技術官Jeff Forristal指出，安裝一款應用并為其創(chuàng)建一個沙盒后，Android將記錄下該應用的數字簽名，隨后的升級需要匹配簽名，以驗證這些操作來自同一用戶。對于Android而言，這是一種十分重要的安全模式，因其可確保一款應用程序在沙盒中存儲的敏感信息只能通過最早創(chuàng)建者的密匙來訪問。

研究人員發(fā)現(xiàn)，Android漏洞允許黑客為已驗證簽名的APKs添加惡意代碼，而無需破壞其簽名。

值得一提的是，該漏洞至少自Android 1.6、即甜甜圈版本就已存在，已影響Android設備長達四年時間。

Bluebox指出：“根據應用程序的類型，黑客能利用該漏洞來盜竊數據，或者是創(chuàng)建移動僵尸網絡”。更為嚴重的是，如果黑客修改一款由設備制造商開發(fā)的預裝應用，他們有可能控制整個系統(tǒng)。

Forristal表示：“如果有固件平臺密匙，你就可以升級系統(tǒng)組件”。這樣一來，惡意代碼將長驅直入，可以訪問所有應用、數據、賬戶、密碼及網絡，幾乎可以操縱整個設備。”

此外，黑客可通過發(fā)送電子郵件、上傳至第三方應用商店、植入任何網站、通過USB復制等多種途徑植入木馬應用。其中，利用第三方應用商店來植入惡意代碼的方式目前已被證實。

不過，F(xiàn)orristal指出，利用Google Play不可能達成目標，因為谷歌已采取有效措施來防止類似問題發(fā)生。