手機(jī)
手機(jī) 手機(jī)資訊 手機(jī)新聞 Android爆重大安全漏洞 可創(chuàng)造虛假ID
安卓
07月 30

Android爆重大安全漏洞 可創(chuàng)造虛假ID

編輯:3533 來源:手機(jī)世界
放大 縮小 打印 郵件 收藏本頁 游吧論壇

根據(jù)今日發(fā)布的一項(xiàng)研究,谷歌安卓操作系統(tǒng)可能存在安全漏洞,這將使得黑客可以冒充被信任的應(yīng)用程序并潛在的竊取你的手機(jī)或平板電腦信息。本質(zhì)問題在于 安卓檢查——或者確切來說是不檢查——某些應(yīng)用程序真實(shí)性的方式,因此這一漏洞也獲得了一個(gè)醒目的名字——“假ID”,做公司移動數(shù)據(jù)保護(hù)的隱形公司Bluebox Security這樣說道。

驗(yàn)證身份是在線網(wǎng)絡(luò)最重要的問題之一,登陸某銀行賬戶的人是否就是賬戶所有者?總部位于舊金山的Bluebox公司主要是幫助公司保護(hù)移動設(shè)備上的數(shù)據(jù),公司員工也在調(diào)查和理解Bluebox所基于的移動操作系統(tǒng)構(gòu)架,公司首席技術(shù)官杰夫·佛利斯塔爾(JeffForristal)這樣表示。

每一個(gè)安卓應(yīng)用程序都有自己的數(shù)字簽名,本質(zhì)上來說就是一張ID卡。例如Adobe系統(tǒng)在安卓系統(tǒng)上有一個(gè)特殊的簽名,所有Adobe的程序都有基于這一簽名的ID。Bluebox公司發(fā)現(xiàn),當(dāng)一個(gè)應(yīng)用程序閃射一個(gè)Adobe ID,安卓并不會與Adobe核查這是否是真實(shí)的ID。這意味著一個(gè)惡意用戶可以基于Adobe的簽名創(chuàng)造一個(gè)惡意軟件并植入你的系統(tǒng)。這個(gè)問題并不只是Adobe系統(tǒng)特有,黑客可以創(chuàng)造一個(gè)惡意應(yīng)用程序冒充谷歌錢包,然后獲得付款和財(cái)務(wù)數(shù)據(jù)。相同的問題也出現(xiàn)在某些設(shè)備上的管理軟件,這使得黑客可以完全控制整個(gè)系統(tǒng)。

“本質(zhì)上來說,我們發(fā)現(xiàn)了一種制造虛假ID的方法,”佛利斯塔爾這樣說道。“很多黑客都能夠創(chuàng)造假ID卡,但問題是他們創(chuàng)造的是哪一種虛假ID卡?”這一缺陷會影響安卓2.1以上系統(tǒng),盡管最新的系統(tǒng)4.4或者稱KitKat已經(jīng)修復(fù)了這一漏洞,因?yàn)檫@個(gè)系統(tǒng)與Adobe相關(guān),據(jù)Bluebox表示。從2012年至2013年,大約14億新的設(shè)備裝有安卓操作系統(tǒng),據(jù)市場研究機(jī)構(gòu)Gartner公司表示。Gartner估計(jì)今年將有11.7億個(gè)安卓設(shè)備。

安卓系統(tǒng)的這一弱點(diǎn)展示了安全研究人員和谷歌是如何處理軟件或者程序里發(fā)現(xiàn)的漏洞。它還暗示了處理影響安卓系統(tǒng)的弱點(diǎn)的復(fù)雜性,因?yàn)樾迯?fù)需要的不僅僅是谷歌的相關(guān)調(diào)整,它還涉及不同的軟件開發(fā)者和設(shè)備制造商。

據(jù)佛利斯塔爾表示,Bluebox在三月下旬完成了這項(xiàng)調(diào)研并于3月31日將漏洞遞交給谷歌。安卓安全小組在4月開發(fā)了修復(fù)的方法并將補(bǔ)丁交給供應(yīng)商,在Bluebox發(fā)布它們的發(fā)現(xiàn)之前,供應(yīng)商有90天的時(shí)間實(shí)施這一修復(fù)。Bluebox已經(jīng)測試了市場里6300多個(gè)產(chǎn)品里的40個(gè)安卓設(shè)備。Bluebox計(jì)劃在下周美國拉斯維加斯召開的“黑帽”安全技術(shù)大會上討論他們的發(fā)現(xiàn)。

打印 郵件 收藏本頁 幫肋
推薦閱讀
相關(guān)閱讀