北京时间7月30日消息,安全公司Bluebox Security发布最新报告称,谷歌Android操作系统存在一项安全漏洞,可以让黑客假冒受信任的正规应用ID,从而开发恶意程序劫持用户的智能手机或平板电脑。
安全公司Bluebox Security在报告中表示,根本问题在于Android校验应用身份时采取的方式。每一款Android应用都有自己的数字签名,也就是ID卡。例如Adobe公司在Android上有一个指定签名,而该公司开发的所有程序都有一个基于该签名的ID。但Bluebox却发现,当一款应用亮出Adobe ID时,Android不会却向Adobe核实该ID的真实性。
换句话说,网络犯罪分子可以利用假冒的Adobe签名来开发恶意软件,从而感染用户的系统。当然,该问题并不局限于Adobe:黑客还可以创建一个假冒谷歌钱包的恶意应用,然后访问用户的支付账号和财务数据。系统管理软件也会存在同样的问题,使得黑客能够控制整个系统。
Bluebox表示,该问题会影响到2010年1月发布的Android 2.1系统及更高版本,根据美国市场研究公司Gartner的测算,2012至2013年间,新出货的Android设备高达14亿部,预计今年的出货量还将增加11.7亿部。
不必担心的是,Bluebox已经在该漏洞通报给了谷歌。Bluebox称该公司在今年3月末完成了这项研究,并在3月31日将漏洞提交给谷歌。Android安全团队于今年4月开发了一个解决方案,并提交给了相关厂商。因此,在Bluebox发布研究结果前,这些企业有90天的时间修补该漏洞。Bluebox已经在大约6300款Android设备中挑选了大约40款进行测试,但似乎只有一家厂商修补了该漏洞。
谷歌发言人凯特萨罗斯表示,该公司已经通过改进Google Play和Verify Apps来提升安全性,让用户免受虚假ID问题的影响。现在最近的Android 4.4奇巧系统已经修复了与Adobe有关的漏洞。
|
发表于 2014-7-31 16:47:09
