安卓再曝漏洞 駭客可假冒正規應用
來源:互聯網
上載者:User
新浪科技訊 北京時間7月30日早間消息,週二發佈的一份研究報告顯示,谷歌Android作業系統存在一項安全性漏洞,可以讓駭客假冒受信任的正規應用,從而劫持使用者的智慧手機或平板電腦。 安全公司Bluebox Security在報告中表示,根本問題在於Android校驗應用身份時採取的方式。 驗證身份是網路世界中最根本的問題之一。 例如,登錄銀行帳號的人是否是該帳號的擁有者? 某款應用是否真如其所宣稱的那樣? 總部位於三藩市的Bluebox的主要業務是説明企業保護其行動裝置上的資料安全,因此該公司的員工正在研究和瞭解移動作業系統的架構。 每一款Android應用都有自己的數位簽章,也就是ID卡。 例如,Adobe公司在Android上有一個指定簽名,而該公司開發的所有程式都有一個基於該簽名的ID。 但Bluebox卻發現,當一款應用亮出Adobe ID時,Android不會卻向Adobe核實該ID的真實性。 換句話說,網路犯罪分子可以利用假冒的Adobe簽名來開發惡意軟體,從而感染使用者的系統。 當然,該問題並不局限于Adobe:駭客還可以創建一個假冒谷歌錢包的惡意應用,然後訪問使用者的支付帳號和財務資料。 系統管理軟體也會存在同樣的問題,使得駭客能夠控制整個系統。 Bluebox表示,該問題會影響到2010年1月發佈的Android 2.1系統及更高版本,但最近的Android 4.4奇巧系統已經修復了與Adobe有關的漏洞。 但受影響的設備依然數量龐大,根據美國市場研究公司Gartner的測算,2012至2013年間,新出貨的Android設備高達14億部,預計今年的出貨量還將增加11.7億部。 我們感謝Bluebox的認真負責,感謝他們將問題報告給我們。 協力廠商研究一直是Android系統進步的方式之一。 谷歌發言人克裡斯多夫·凱特薩羅斯(Christopher Katsaros)說。 此次問題凸顯出安全研究人員與谷歌對安全性漏洞的處理方式,但也表明這類問題十分複雜:不僅需要谷歌方面的協調,還需要眾多開發者和設備製造商的配合。 Bluebox表示,該公司在今年3月末完成了這項研究,並在3月31日將漏洞提交給谷歌。 Android安全團隊於今年4月開發了一個解決方案,並提交給了相關廠商。 因此,在Bluebox發佈研究結果前,這些企業有90天的時間修補該漏洞。 Bluebox已經在大約6300款Android設備中挑選了大約40款進行測試,但似乎只有一家廠商修補了該漏洞。 谷歌發言人凱特薩羅斯表示,該公司已經通過改進Google Play和Verify Apps來提升安全性,讓使用者免受虛假ID問題的影響。 我們已經掃描了所有提交給Google Play的應用,以及谷歌谷歌在Google Play之外評估的應用,目前沒有發現任何證據顯示,有人試圖利用該漏洞。 凱特薩羅斯說。 Bluebox計畫在下周的黑帽駭客大會上討論這一問題,預計在此之前還將出現更多與安全問題有關的新聞。 (鼎宏)