安卓漏洞可竊取數(shù)據(jù) 99%設(shè)備受影響

北京時(shí)間7月4日消息，據(jù)國(guó)外媒體報(bào)道，移動(dòng)安全創(chuàng)業(yè)企業(yè)Bluebox周三發(fā)帖子指出，自Android 1.6版本以來就存在漏洞，被黑客用于竊取數(shù)據(jù)、操縱系統(tǒng)，且有99%的Android設(shè)備受到影響。

研究人員發(fā)現(xiàn)，過去四年中，這一漏洞普遍存在，黑客可修改任何應(yīng)用的合法數(shù)字簽名，將其改造成一個(gè)木馬程序來盜取數(shù)據(jù)或者控制操作系統(tǒng)。Bluebox發(fā)現(xiàn)了該漏洞，并計(jì)劃于本月晚些時(shí)候在拉斯維加斯美國(guó)黑帽安全大會(huì)上披露更多細(xì)節(jié)。

這一漏洞源于Android應(yīng)用加密驗(yàn)證方式的紕漏，其允許黑客在不破壞加密簽名的情況下修改應(yīng)用程序包（APKs）。

Bluebox的首席技術(shù)官Jeff Forristal指出，安裝一款應(yīng)用并為其創(chuàng)建一個(gè)沙盒后，Android將記錄下該應(yīng)用的數(shù)字簽名，隨后的升級(jí)需要匹配簽名，以驗(yàn)證這些操作來自同一用戶。對(duì)于Android而言，這是一種十分重要的安全模式，因其可確保一款應(yīng)用程序在沙盒中存儲(chǔ)的敏感信息只能通過最早創(chuàng)建者的密匙來訪問。

研究人員發(fā)現(xiàn)，Android漏洞允許黑客為已驗(yàn)證簽名的APKs添加惡意代碼，而無需破壞其簽名。

值得一提的是，該漏洞至少自Android 1.6、即甜甜圈版本就已存在，已影響Android設(shè)備長(zhǎng)達(dá)四年時(shí)間。

Bluebox指出：“根據(jù)應(yīng)用程序的類型，黑客能利用該漏洞來盜竊數(shù)據(jù)，或者是創(chuàng)建移動(dòng)僵尸網(wǎng)絡(luò)”。更為嚴(yán)重的是，如果黑客修改一款由設(shè)備制造商開發(fā)的預(yù)裝應(yīng)用，他們有可能控制整個(gè)系統(tǒng)。

Forristal表示：“如果有固件平臺(tái)密匙，你就可以升級(jí)系統(tǒng)組件”。這樣一來，惡意代碼將長(zhǎng)驅(qū)直入，可以訪問所有應(yīng)用、數(shù)據(jù)、賬戶、密碼及網(wǎng)絡(luò)，幾乎可以操縱整個(gè)設(shè)備?！?/B>